• TOP
  • 特集一覧
  • つながる時代の脅威に対して企業がいま取り組むべきIoTセキュリティとは? 【前編】
2018/01/26

つながる時代の脅威に対して企業がいま取り組むべきIoTセキュリティとは? 【前編】

メイン画像

IoTは都市計画や企業のサービスに革新をもたらし、結果インターネットにつながるデバイスやサービスを外出先や家庭内で利用する一般利用者にも大きな変化をもたらします。しかし、IoTの活用において、セキュリティを重視せずにつながる世界の利便性だけに目を向けてしまうと、多くの脅威への扉を開いてしまう可能性があります。

様々な業種、業態のビジネスにおいて、IoTが新たな価値創造の要として期待される中、起こり得るリスクを最小化しながらその価値を最大化するために、企業はIoTのセキュリティに関して責任を果たす必要があります。

IoTで広がる世界とそのセキュリティ|トレンドマイクロ 公式YouTubeチャンネル

本記事では、企業でIoTを活用する2つの立場において直面しうるセキュリティ上の脅威の現状を明らかにするとともに取るべき対策の方向性を検討します。前編となる本稿では、IoT化された製品やサービスを一般利用者に対して提供する「IoT事業者」としての立場で、そして後編ではIoT化された製品やサービスを自社がユーザとして導入し、IoTの価値を享受する「IoT利用者」の立場でセキュリティについて検討します。

一般利用者をとりまくサイバー攻撃の新たな動き

スマートスピーカーやスマートウォッチは、既に一般利用者にとっても身近なアイテムとなり、スマートホームやスマートカーも家や車を購入する際の選択肢のひとつとなりはじめています。多くの家庭で、Wi-Fiルータが導入され、PCやスマートフォンに限らず、様々なIoTデバイスがつながるホームネットワークが構築されています。インターネットを通じた商品の購入は、従来の決済方法から進化し、電子マネーや仮想通貨の利用も進み始めています。こうした一般利用者のインターネット利用をめぐる環境の変化に合わせて、サイバー攻撃にも新たな動きが見え始めています。

ホームネットワークのイメージ

参考)ネットワークカメラをボット化する4つのマルウェア、特徴とその最新動向

トレンドマイクロでは、2017年、インターネットにつながる一般利用者所有のデバイスのリソースを不正に使用して、仮想通貨という形で利益獲得を狙う攻撃の増加を確認しました。

この攻撃は、サイバー犯罪者が、所有者の許可を得ずにインターネットにつながるデバイスに「bitcoin(ビットコイン)」などの仮想通貨を発掘(マイニング)させるツールを入れたり、従来の不正プログラムにマイニング機能を追加した上でインターネットにつながるデバイスに感染させることで、一般利用者のデバイスのリソースを仮想通貨のマイニングという形で無断使用して利益を得ようとするものです。

トレンドマイクロの調査では、2017年7月~9月に、国内からアクセスのあった脆弱性攻撃サイト(※1)のうちマイニングツール「コインマイナー」を国内向けに配布する不正サイトを1,749件確認しています。このような不正サイトの数は、前四半期(4月~6月:149件)と比較して約12倍に急増していました。

(※1:脆弱性攻撃サイト:サイト閲覧ユーザの端末に遠隔から脆弱性攻撃を行い不正プログラムの感染などをしかけるコードが組み込まれた不正サイト)

国内からアクセスのあった脆弱性攻撃サイト数とそのうちコインマイナーを配布するサイト数の推移(2017年1月~9月)(2017年11月トレンドマイクロ調べ)

国内からアクセスのあった脆弱性攻撃サイト数とそのうちコインマイナーを配布するサイト数の推移(2017年1月~9月)(2017年11月トレンドマイクロ調べ)

また、2017年1月~9月には、全世界で約1万2,700台の家庭用インターネットデバイスから仮想通貨マイニングの通信を確認しており、そのうち、Webカメラやゲーム機といったPCやタブレット、スマートフォンといった従来のインターネット接続端末以外のいわゆるIoTデバイスが発信した通信が約6%にのぼることが分かりました。

仮想通貨のマイニングの通信を検知した家庭用IoTデバイス別割合(全世界:2017年1月~9月)(※2017年10月 ホームネットワーク向けセキュリティ技術「Trend Micro Smart Home Network」の検知ログより)

仮想通貨のマイニングの通信を検知した家庭用IoTデバイス別割合

(全世界:2017年1月~9月)(※2017年10月 ホームネットワーク向けセキュリティ技術「Trend Micro Smart Home Network」の検知ログより)

検知されたマイニングの通信は、利用者自身によるマイニング行為の可能性も考えられますが、前述の脆弱性攻撃サイトの存在や、マイニング通信を発信していた家庭用IoTデバイスから別のサイバー攻撃の通信が発信されていたことなどを踏まえると、これらのIoTデバイスはサイバー犯罪者によって悪用されている可能性があります。

常に新たな標的を模索しているサイバー犯罪者が、不正に金銭的利益を得る目的で、IoTの潮流に便乗する動きがすでに伺えます。

求められる「エコシステム全体でのセキュリティ確保」と「一般利用者の保護」

IoT化された製品やサービスを一般利用者に対して提供する「IoT事業者」として、こうしたIoTを悪用するインターネットの脅威から利用者を守り、企業としての社会的責任を果たすために、現状踏まえるべき視点が2つあります。

ITとOTの2つの視点のイメージ

まず1つ目が、IoTセキュリティの脅威の多くが、脆弱なIoTデバイスを起点にエコシステム全体に被害を及ぼしているという点、そしてもう1つが一般利用者のIoTに対する安全性への期待と現状のギャップです。

前述のようなマイニングへの悪用やMiraiをはじめとするIoTボットによる脅威においては、現状一般利用者が受ける直接的な被害は自身の保有する端末リソースの不正な消費です。IoTデバイスが機能異常を起こさない限り、リソースの不正な消費に気づかないまま攻撃が継続される可能性が想定されます。

これらの脅威は一般利用者の目線からすると一見取るに足らない脅威かもしれませんが、大規模なDDoS攻撃を引き起こされインターネット上の重要なサービスが停止したり、サイバー攻撃者に新たな資金が供給されれば、IoTのエコシステム全体に大きな負の影響を及ぼします。

デバイスやサービスを悪用されたIoT事業者は、悪用された被害者であると同時に、意図せず加害者として攻撃の拡大に加担してしまうことにもなります。これは、単なる自社製品のセキュリティの課題ではなく、自社の事業継続における大きなリスクとなり得ることを理解する必要があります。

また、子供から高齢者まで本当の意味であらゆる人が活用するIoTでは、利用者のセキュリティ意識が圧倒的に低いか、そもそもセキュリティ意識が全くないことを前提に製品やサービスの展開を行うことが重要です。デバイスがインターネットにつながっていることすら意識していない利用者に、リスクを理解してセキュリティ対策を行うことを求めるのは現実的ではないでしょう。仮にセキュリティの必要性を意識している一般利用者であっても、セキュリティ対策機能が簡単に利用できる形で事業者から提供されないかぎり、十分な対処を自ら行うことは難しいでしょう。

残念ながら、前述した攻撃の被害が発生していることからも明らかなように、すでに市場には十分なセキュリティの施されていないIoTデバイスやサービスが存在しています。

他方で、水道・電気・ガスといった国内の公共インフラや、いわゆる日本製の“モノ(製品やサービス)”における安全性の高さは、世界的に見ても高水準であり、国内の一般利用者の安全に対する期待値は、これらを基準に想定されています。誰でも使える水道からは常に安全な水が流れ、電気製品が危険な誤作動を起こすことはまずないという安心感を持っています。インターネットやIoTセキュリティの現状に詳しくない一般の利用者がIoTを活用する際、提供されているネットワークやデバイスの安全性について、公共インフラや日本製品の安全性に関する品質同等の期待を持つ、すなわちこれらの安全が確保されていて当たり前という意識を持つ可能性は十分にあるでしょう。

こうした利用者の期待に対し、現状すべてのIoTデバイスやサービスがインターネットを介した脅威に対して、十分なセキュリティを有しているとはいえず、このギャップを踏まえた対策の適用が急務です。

2017年10月に総務省より公表された「IoT セキュリティ総合対策」でも、IoT デバイスの脆弱性について、設計・製造、販売(輸入を含む)、設置、運用・保守、利用のライフサイクル全体を見通し、利用者が安全にIoTデバイスを利用でき、さらにはIoTのサプライチェーン全体に脅威が波及しないよう、各段階において適切な対策が必要である旨が言及されています。

当文書内の「脆弱性対策に係る体制の整備」で提言されている具体的施策10項目では、設計・製造段階において、所有者・運用者・利用者による安全な設定が行われるよう、製造業者におけるセキュリティ・バイ・デザインの考えが重視されています。さらには、一定のセキュリティ要件を満たしていることを認証マークの付与により保証することでデバイスの安全性確保や、利用者が容易にデバイスの安全性を評価できるようにする案などが検討されています。

同時に、すでに市場に浸透している一方でセキュリティに不備のあるデバイスがもたらす影響を最小限にするために、IoTデバイスとインターネットの境界にセキュアゲートウェイを設置する取り組みやデバイスのセキュリティ検査の仕組みづくり、そしてその継続的な実施についても考慮が必要としています。

1) セキュリティ・バイ・デザイン等の意識啓発・支援の実施

2) 認証マークの付与及び比較サイト等を通じた推奨

3) IoT セキュアゲートウェイ

4)セキュリティ検査の仕組み作り

5) 簡易な脆弱性チェックソフトの開発等

6)利用者に対する意識啓発の実施や相談窓口等の設置

7)重要 IoT 機器に係る脆弱性調査

8)サイバー攻撃の踏み台となるおそれがある機器に係る脆弱性調査

9) 被害拡大を防止するための取組の推進

10) IoT 機器に関する脆弱性対策に関する実施体制の整備

「脆弱性対策に係る体制の整備」における10の具体的施策(出典:総務省 「IoTセキュリティ総合対策」; http://www.soumu.go.jp/main_content/000510701.pdf

「IoT事業者」の立場では、従来インターネットにつながっていなかったデバイスを「IoT化」する、またはより高い付加価値を提供するために新たに企画、設計されたIoTデバイス、サービスを市場に投入する状況が考えられます。

いずれの場合においても、提供するデバイス、サービスに存在するセキュリティ上の不備が、IoTのエコシステム全体に影響を及ぼしかねないことと、利用者のリテラシに依存しないセキュリティ機能の提供が必須であること、この2点を念頭にデバイス、サービスのライフサイクル全体を見渡した対策の実装が必須といえます。

トレンドマイクロでは、IoTデバイスのセキュリティ設計における参考資料として、「IoTセキュリティガイドライン-デバイスライフサイクルの概要」を公開しています。デバイスの設計から製造、保守にいたる一連のライフサイクル全体を見渡した対策の実装に向けた導入編として、こちらのガイドラインも参考にしてください。また、本件に関連し、独立行政法人情報処理推進機構/技術本部ソフトウェア高信頼化センター(IPA/SEC)から、IoTデバイスの開発者向けに「『つながる世界の開発指針』の実践に向けた手引き[IoT高信頼化機能編]」が公開されています。技術面での詳細なリファレンスとしての利用をお勧めします。(※2017年12月英文版が公開。)


次回、後編では、自社がユーザとしてIoT化された製品やサービスを導入し、IoTの価値を享受する「IoT利用者」の立場でのセキュリティを、主に「IIoT(Industrial IoT)」を題材に検討します。

おすすめの動画

IoTで広がる世界とそのセキュリティ

運営社情報

セキュリティブログ
is702
PageTop