• TOP
  • 特集一覧
  • 「IoT」でも「セキュリティ」:既存OSの脆弱性がIoTに影響?
2016/12/19

「IoT」でも「セキュリティ」:既存OSの脆弱性がIoTに影響?

メイン画像

新たに発見される脆弱性の情報を収集し、脆弱性の影響を受けるシステムを修正することはセキュリティの上では非常に重要です。以前の記事でも述べている通り、既に発生しているIoTでの侵害の多くは脆弱性の利用によって発生しています。

当然、脆弱性対策はIoTのセキュリティでも重要なことと言えます。では、IoTでは特にどのような脆弱性について注意すべきなのでしょうか。

IoT機器で危険度の高い脆弱性とは?

これまでのWindows PCを使用する一般のインターネット利用者に影響のある脆弱性と言えば、Internet ExplorerなどのインターネットブラウザやAdobe FlashやJavaのようなインターネットで使用される技術の脆弱性が中心でした。合わせて、Microsoft OfficeやAdobe Readerのようなドキュメントを扱うソフトの脆弱性やWindows OS自体の脆弱性も大きな影響がありました。

これらの脆弱性を総じてみると、何らかの操作の際に意図しないプログラムを実行させる「任意コード実行」と呼ばれるクライアント側アプリケーションの脆弱性を狙う攻撃が多く行われています。

IoT機器であっても、PCのような汎用的な操作が行われる場合にPC同様のクライアント側アプリケーションの脆弱性の危険度が高くなります。スマートフォンやスマートテレビなどの機器ではPCのように、インターネット上の動画を見る、メールやメッセンジャーで送られてきたWebページのURLを開く、といったことが行われるかもしれません。

しかし多くのIoT機器ではPCのような汎用的な操作は行われないと考えられます。例えばWebカメラのような機器の場合は画質などの設定を行って設置した後は利用者が操作することはほとんどないでしょう。このような汎用的な操作が想定されない機器の場合、OS関連の脆弱性が狙われることが予想されます。

広くIoT機器に影響するLinuxの脆弱性

大きな被害が発生したLinux OS周りの脆弱性の代表例として、2014年に確認された「SHELLSHOCK」脆弱性があります。「SHELLSHOCK」はLinuxのシェルの1つ、bashに存在する脆弱性です。

bash は、ほとんどの Linux ディストリビューションで一般的に利用されているシェルであるため、影響範囲が非常に広く、さらに自身の使用するLinuxが影響を受けるかどうかを利用者が確認することも難しいものとなっていました。「SHELLSHOCK」脆弱性の確認から2年が経過した現在でも、この脆弱性を利用する「BASHLITE」、「FGFTY」などのLinuxマルウェアの攻撃が確認されています。

IoT機器との関連性で言えば、bashは比較的リッチなシェルであるためリソースが限られた組み込み機器では採用されていないものと考えられていました。しかし、国内の事例ではインターネットに接続されたNASに感染した事例を確認しています。

そして今、このような広い範囲に影響する脆弱性として、Linuxカーネルの脆弱性に注目が集まっています。1月の「CVE-2016-0728」、3月の「CVE-2015-1805」、そして10月には「Dirty Cow」と命名された「CVE-2016-5195」など、大きく注目されたLinuxカーネルの脆弱性が2016年には複数確認されています。

IPAとJPCERT/CCが共同で運営する脆弱性対策情報データベース「JVN iPedia」の情報によれば、Linuxカーネルの脆弱性の中でも深刻度7以上の最も危険度が高いとされるものの数は増加の傾向を示しており、2016年はこの11月までの時点ですでに過去最高の59件を数えています。

図:危険度最高(深刻度7以上)のLinux カーネルの脆弱性数とLinuxカーネルの脆弱性の総数に対する割合の推移

図:危険度最高(深刻度7以上)のLinux カーネルの脆弱性数とLinuxカーネルの脆弱性の総数に対する割合の推移

このような脆弱性の増加は、公開サーバからIoT機器まで幅広く使用されるLinux自体への注目が高まっていることを示しています。Linuxカーネルの脆弱性はLinux自体だけでなく、Linuxをベースに開発されたAndroidやAppleのiOS、Mac OSなどにまで影響が及ぶ可能性があります。特に「CVE-2015-1805」は97%のAndroid端末に影響するとされ、Linuxカーネルの脆弱性の影響の広さを示す格好の例となりました。

攻撃者の立場から見ると、特に今後爆発的に増加するであろうIoT機器で利用が想定されるLinuxにおける脆弱性は将来的により広く利用していけるものと言えます。逆にセキュリティを守る側の立場から見ても、Linuxの脆弱性を先に確認して修正していくことは今後の攻撃の芽をつぶすことにつながります。きわめて近い将来に来るIoT時代を見据えた攻防はすでに始まっているものと言えます。

IoT利用者が認識すべきセキュリティ対策

これまでのPCでの対策と同様に、IoT機器でも脆弱性への対策が大きな意味を持ちます。攻撃者にとって脆弱性は「不可能を可能にする」攻撃手法であり、必ず狙ってくる弱点と言えます。IoT機器を利用する上では、まずインターネットに直接接続する必要があるかどうかを考慮し、必要がない場合はなるべくルータを利用することでインターネット側から直接アクセスされないようにしましょう。

ルータなども含め、IoT機器におけるアップデートの必要性はまだまだ浸透していないものと思われます。機器のアップデートを自動にできる設定がある場合はなるべく有効にし、常に最新を保つようにすべきです。同時にIoT機器に対する侵害を発生させないために、各開発ベンダーにはよりセキュアなシステムの開発や規格の策定が求められています。

KATSUYUKI OKAMOTO

岡本 勝之(おかもと かつゆき)

トレンドマイクロ株式会社

セキュリティエバンジェリスト

製品のテクニカルサポート業務を経て、1999年よりトレンドラボ・ジャパンウイルスチーム、2007年日本国内専門の研究所として設立されたリージョナルトレンドラボへ移行し、シニアアンチスレットアナリストを務める。特に不正プログラム等のネットワークの脅威全般の解析業務を担当。現在はセキュリティエバンジェリストとして、それまでの解析担当により培った脅威知識を基に、セキュリティ問題、セキュリティ技術の啓発に当たる。

こちらの記事を読んだ方におすすめの記事

おすすめの動画

IoTで広がる世界とそのセキュリティ

運営社情報

セキュリティブログ
is702
PageTop