すべての「モノ」がインターネットへ繋がる「IoT(Internet Of Things)」が急速に普及しています。東京オリンピックが開かれる2020年にはインターネットに繋がる「モノ」、つまりIoT機器の数は、ますます拡大すると言われており、ITアドバイザリ企業であるガートナー社は、2015年から30%増加し2016年には世界中で64億台のIoTデバイスが使用され、2020年までに稼働台数が208億台を超えると予想しています。
出典:Gartner Press Release “Gartner Says 6.4 Billion Connected "Things" Will Be in Use in 2016, Up 30 Percent From 2015” November 10, 2015 http://www.gartner.com/newsroom/id/3165317
そもそも「すべてのモノがインターネットへ繋がる」ということはどういうことでしょうか?
それは言い換えれば「すべてのモノがコンピュータになる」ということです。インターネットに接続し、様々な便利な機能を実現するために、すべてのモノがコンピュータになります。携帯電話はコンピュータと一緒になって「どこでも通話できるコンピュータ」つまりスマートフォンになりました。同様に、自動車は「走るコンピュータ」に、冷蔵庫は「冷やすコンピュータ」になっていくでしょう。
モノがコンピュータになることは様々な便利な機能を実現するために必要なことです。
しかし、サイバー空間では「便利」であることは「危険」であることと引き換えです。
なんでもできる我々の便利なパソコンは、インターネットと繋がることによって不正プログラムと遭遇し、遠隔操作されたりして、最終的に我々に個人情報漏えいの被害や金銭的な被害を与える手段になってしまう、という事例が何年も前から日常茶飯事的に起こっています。
IoTの世界でも同様に、様々な危険事例が既に起こっています。
2004年のハードディスクレコーダの事例や2014年のスマートテレビや冷蔵庫の事例など、HTTPプロキシ機能やメール送信機能が搭載されているネット家電がインターネットから直接アクセス可能な状態で運用されることにより、結果的に攻撃者の踏み台にされる様々な事例が報告されています。
機能の使用のために必要なパスワード認証が設定されていない、またはデフォルト設定のまま運用されていることが悪用の要因となっています。機器が悪用されることにより結果的に不正活動に加担することになると同時に、踏み台にされたIoT機器が負荷により一時的に使用不可になったりすることも利用者側の被害としてあげられます。
デフォルトの認証情報を変更しない、そもそも認証設定自体を行っていない、脆弱性をアップデートしていないなど、不適切な設定のままインターネットに接続されたWebカメラの映像が第三者に盗み見られてしまうことがあります。
2014年以降たびたび「ネットワークカメラ画像無断公開サイト」の存在が報道され話題に上っていますが、特に悪質な事例としてはハッキングされたカメラからの盗撮画像を元にした脅迫の事例や乳幼児の見守りのためのカメラがハッキングされ暴言が浴びせられた事例などがあります。
各種機能実現のためにインターネット接続機能を持つ車は「コネクテッドカー」とも呼ばれます。そして、実際に市販されているコネクテッドカーに対する遠隔操作の実証実験が既に何度も行われています。
中でも2015年に行われた実証実験は最も大きく報道された例の1つですが、この実験の中では市街を走行中のコネクテッドカーにおいて、エアコンやラジオ、ワイパーなどの機能がインターネット経由で遠隔操作され、最終的にはアクセルが無効になり車は停止させられたと報告されています。また別の実証実験では遠隔操作のために必要なPINコード認証をブルートフォース(総当たり)攻撃で突破したという報告もあります。
すべてのモノがコンピュータになるにあたっては、LinuxやAndroidなど既存のOSが搭載される場合が多いようです。そして既存のOSが使用された場合、既存の不正プログラムの脅威も同時に引き継がれることになります。
このようなIoT機器への既存の不正プログラムによる被害として、2016年にはAndroidを搭載したスマートテレビボックスにバックドア型不正プログラムが感染した事例やランサムウェアが感染した事例が確認されています。今後はこのような既存の不正プログラムの被害が継続すると共に、特定のIoT機器を狙う不正プログラムも登場してくることでしょう。
家庭用ルータは、インターネットと家庭内のIoT機器を安全に繋ぐための重要な存在です。ルータの配下にあるIoT機器はインターネット側から直接アクセスされることなく、インターネットを利用できます。サイバー犯罪者はそのルータの存在に注目しており、既に様々な攻撃が試みられています。
中でも「DNSチェンジャー」による被害は、既に大きな規模で発生しています。DNSチェンジャーは不正プログラムの一種であり、同一ネットワーク上のルータを探し出すと同時にパスワード認証を突破したり脆弱性を利用したりしてルータのDNS設定を変更します。ルータのDNS設定が変更されてしまうと、そのルータ経由でインターネットに接続しているすべての機器が正規URLにアクセスしているつもりで不正サイトへ誘導されてしまう危険性が生じます。
実際に発生したDNSチェンジャーの事例では不正サイトへの誘導により、最終的に偽セキュリティソフトやクリッカーなどの不正プログラムを感染させていたことがわかっています。その他にもフィッシングサイトへの誘導、正規サイトの広告表示の変更、任意の正規サイトにアクセスさせないことによる情報入手妨害、中間者攻撃による通信内容の盗み見などの危険性があります。
これらの事例では攻撃の発生要因は3つに集約されます。それは、事例1、2、3、5に見られる「認証の突破」や「脆弱性の利用」、そして事例4のような「利用者に対するソーシャルエンジニアリング」の3つです。
攻撃発生要因を解消することはそのままセキュリティ対策になります。つまり、IoT機器におけるセキュリティ対策ポイントとして、上記3つの要因を認識し、解消する方法を考えることが重要です。
家庭内のIoT機器を利用する上では、まずインターネットに直接接続する必要があるかどうかを考慮し、必要がない場合はルータを利用するなどの方法でインターネット側から直接アクセスされないようにすべきです。また、機器に接続するためのパスワードによる認証は必ず有効にすると同時に、デフォルトのパスワードや推測されやすいパスワードの使用は避けることが必要です。機器のアップデートは自動にできる設定がある場合はなるべく自動にし、常に最新を保つようにすべきでしょう。
IoT機器が普及し汎用的になればなるほど「利用者に対するソーシャルエンジニアリング」のシナリオの可能性は高くなります。例えば、攻撃者は現在PCで起こっているのと同様に「便利なツール」、「セキュリティ対策」、「アップデートプログラム」などの名目でIoT機器の利用者自身に不正プログラムをインストールさせようとするでしょう。
IoT機器に対する侵害を発生させないために、各開発ベンダにはよりセキュアなシステムの開発や規格の策定が求められています。同時に利用者の側にもセキュリティ意識が求められます。
現時点でのIoT機器に対するセキュリティの認識としては、上記事例2で触れたネットワークカメラ画像無断公開サイトに見られるように、そもそも認証自体が設定されないままインターネットに直接接続されている機器が多く存在しているのが実情です。また、ルータも含め、これらの機器におけるアップデートの必要性も浸透していないものと思われます。
IoT機器上で不正プログラムが活動する可能性などは全くの認識外かもしれません。利用者の側でも、上記で紹介している事例のようなIoT機器やルータでのセキュリティリスクとその対策の必要性を認識することが重要と言えます。
繰り返しになりますが、「すべてのモノがインターネットへ繋がる」ということは、「すべてのモノがコンピュータになる」ということです。現在のPCに対するのと同様のセキュリティ意識を持つことが、あなたの「冷やすコンピュータ」や「走るコンピュータ」を守るための第一歩となります。
岡本 勝之(おかもと かつゆき)
トレンドマイクロ株式会社
セキュリティエバンジェリスト
製品のテクニカルサポート業務を経て、1999年よりトレンドラボ・ジャパンウイルスチーム、2007年日本国内専門の研究所として設立されたリージョナルトレンドラボへ移行し、シニアアンチスレットアナリストを務める。特に不正プログラム等のネットワークの脅威全般の解析業務を担当。現在はセキュリティエバンジェリストとして、それまでの解析担当により培った脅威知識を基に、セキュリティ問題、セキュリティ技術の啓発に当たる。