IoTとサイバー犯罪
昨今何かと話題のIoT機器は、様々な形でその活用範囲が拡大され、私たちの日常生活をより便利なものにしています。しかし、その普及とともにIoT機器を狙ったサイバー犯罪も増加の一途をたどっており、メーカー等の提供者側で対策が急がれているとともに、利用者に対しても安全な利用について再三の注意喚起が行われています。
NOTICEとは
2019年2月より、注意喚起システムの一つとして国家規模のプロジェクト「NOTICE」が開始しました。
近年、IoT機器を悪用したサイバー攻撃が増加していることから、利用者自身が適切なセキュリティ対策を講じることが必要です。
総務省及び国立研究開発法人情報通信研究機構(NICT)は、インターネットプロバイダと連携し、サイバー攻撃に悪用されるおそれのあるIoT機器の調査及び当該機器の利用者への注意喚起を行う取組「NOTICE(National Operation Towards IoT Clean Environment)」を平成31年2月20日(水)から実施します。
総務省・報道資料より
IoT機器を利用している個人・企業は今後NOTICEからの通知を受ける可能性があります。
マルウェア感染などIoT機器が晒されている危険と、それが私たちの生活に及ぼす被害、そしてNOTICEの取り組みについて見ていきます。
IoTとは
IoTとは、Internet of Thingsの略で、「モノのインターネット」と訳されたりします。この訳は直訳のようで実は非常に的を射ています。IoTは、従来は専らパソコンが主役であったインターネットの世界に様々な「モノ」が参入し、インターネットに接続されるデバイスの視野が一気に広がった状態を指しています。接続によって、モノをコントロールすることができるのは勿論のこと、モノとモノが繋がることも可能になり、それにより実現できるシステムモデルは無限大です。
様々なIoT
例えば、日常生活の面では、スマートフォンを利用して家電を動かすことができる「eRemote」家の鍵を開閉できる「Qrio」、外出先から室内のカメラを通じて家の状況を確認することができる「au HOME」などが人気です。他にも、スポーツメーカーAdidasが発売した加速度センサー搭載のサッカーボール「smart ball」は、自分のキックの情報を可視化することができます。
また、もう少し大きな範囲に目を向けると、街中ではごみの蓄積状況がリアルタイムに分かる「BigBellySolar」や、橋にセンサーを取り付けて環境や損傷を検知し保守・点検に役立てる「BRIMOS」などが運用されています。さらに、製造業では生産設備の情報をリアルタイムに収集し、故障予知に役立てる「KDDI IoTクラウド 工場パッケージ」というサービスも提供されています。
IoTに迫るサイバー犯罪
このように、IoT機器は、インターネットを介して様々な情報を収集し通信することで、身近な所から公共の環境まで非常に広い範囲を快適に維持することに役立っています。
しかし、裏を返せばインターネットに接続されているということはサイバー攻撃の魔の手が常にすぐそこまで迫っているということであり、個人の私生活や事業に関する情報を保持した機器がサイバー攻撃を受け、情報漏えいが発生すれば、その被害は甚大です。
実際に、監視カメラがハッキングされ映像データが盗難・改ざん、機能を停止されるような事案が起きています。また、アメリカでは、医療機関において胎児モニタ装置へのマルウェア感染が確認され、大きな被害はなかったものの衝撃を与えました。医療機器へのサイバー攻撃は、誤作動を引き起こすなど人命に関わる危険性も孕んでいます。
そして、IoT機器への攻撃としてよく見られるのが、DDoS攻撃を前提とした、マルウェア感染です。現在最も知名度の高いマルウェア「Mirai」は、2016年8月に初めて発見され大きな猛威を振るいました。MiraiはIoT機器を主要ターゲットとしたマルウェアで、感染すると途端に多数の機器がボットネット化し、攻撃者の武器と化します。さらにMiraiの作者を名乗る者がソースコードを公開したことによって、これをベースにした新種のマルウェア「Wicked」なども話題となり、活発な攻撃活動を見せています。FNCサービスのファイヤウォールがブロックした通信を分析した結果によると、攻撃者からの通信の約4割がIoT機器宛となっており、IoT機器を狙った攻撃は今後も増加していくと考えられます。
NOTICEの仕組み
そこで、サイバー犯罪の被害を受けやすい脆弱なIoT機器を減らすために、遂に国家プロジェクトが始動しています。
2019年2月20日より始動している「NOTICE」は、“総務省・国立研究開発法人情報通信研究機構(NICT)・インターネットプロバイダが連携し、IoT機器へのアクセスによるサイバー攻撃に悪用される恐れのある機器の調査及び当該機器の利用者への注意喚起を行う取り組み”です。
2020年の東京オリンピック・パラリンピックが目前に控迫っていることも念頭に、DDoS攻撃により主要サービスがダウンしてしまう被害を起こさないため対策の必要性が高まっていることなどが、背景事情として挙げられています。
NOTICE全体像
- 調査対象
NOTICEの調査対象となる機器は、日本に割り振られたIpv4のグローバルIPアドレスを使うインターネットに接続されたIoT機器で、ネットワーク機器やウェブカメラ、センサーなどです。この調査では、携帯電話回線で使用するスマートフォンや無線LANルータに接続するパソコンについては原則調査対象外となっています。 - ISPに提供される情報
調査はNICTが実施します。調査の結果、IoT機器が脆弱と判断されると、NICTはユーザーを特定するのに必要なIPアドレス・タイムスタンプといった情報をインターネットサービスプロバイダ(ISP)に通知します。また、今後変更の可能性はあるとしながらも、ユーザーを特定するための情報のほかに、どんな脆弱性があったかを把握するための最低限の情報も提供するとしています。 - 注意喚起
ISPが提供された情報をもとに、当該IoT機器の利用者を特定し、注意喚起を行います。注意喚起の方法はISPからの電子メールによるとされています。 - 設定変更等
注意喚起を受けた利用者は、利用しているIoT機器がマルウェアに感染する可能性のある状態であるということになります。よって、脆弱性を改善するためのセキュリティ対策をしなくてはなりません。具体的には、注意喚起メールやNOTICEサポートセンターサイトの説明に従い、パスワード設定の変更・ファームウェアの更新などを行うことになります。
また、注意喚起の対象となる機器は既にマルウェアに感染していることも考えられますので注意が必要です。Mirai等、IoT機器に感染するマルウェアは一度電源を切ることで除去可能であることが確認されています。よって、設定を変更する際、再起動することが推奨されます。
NOTICEの信用性
さて、NOTICEの調査はいったいどれくらい信用性のあるものなのでしょうか、具体的な調査方法について見ていきます。
NOTICEの調査は、簡潔に言えば「ウイルスの模倣をして感染できるか確かめてみる」という方法です。
調査は2段階で実施されます。1段階目がポートスキャン、2段階目は特定アクセス行為の試行です。
まず、1段階目のポートスキャンでは、稼働しているサービスやソフトウェアを検索します。その上で、サービスが認証を要求してきた場合には2段階目の特定アクセス行為を行い、認証を通過できてしまう状態であれば脆弱性ありと判断するという手順です。
特定アクセス行為では、認証要求があったサービスに対して100通りを超えるIDとパスワードの組み合わせを実行し、認証が成功するかどうか検証しています。NOTICE公式サイトは、そのうちの10通りの組み合わせを公開しており、これらは全て、実際にマルウェア「Mirai」が使用する組み合わせに含まれています。つまり、NOTICEがそれらのIDとパスワードで認証に成功してしまった場合、Mraiも認証に成功する確率が極めて高く、非常に危険な状態であると判断されるのです。
NOTICEの調査方法は「ウイルスの模倣」と言いました。IoTウイルスもまさに「ポートスキャンによって稼働サービスを調べる」「あらかじめ用意した認証情報でログインを試みる」という動きをします。
現状は、2段階目の特定アクセス行為で脆弱な認証設定となっている機器だけを洗い出していますが、今後はポートスキャンによるソフトウェアそのものの脆弱性チェックも行っていくといいます。
IoTセキュリティへの問題意識
NOTICEの取り組みに参加するプロバイダには、NTTコミュニケーションズ株式会社・株式会社NTTドコモ・KDDI株式会社・ソニーネットワークコミュニケーションズ株式会社・ビッグローブ株式会社など、大手プロバイダが名を連ねており、IoT機器へのサイバー攻撃に対する問題意識の高さが伺えます。
企業向けのネットワーク製品からホームユーザー向けの製品まで、IoT機器のすそ野の広さは計り知れず、その全てにサイバー攻撃の被害が及ぶ可能性があります。日常、私たちが便利に利用している製品が、一瞬で攻撃者の支配下に置かれて私たちに被害をもたらすIoT機器へのサイバー攻撃はまさに、「飼い犬に手を嚙まれる」といったところでしょう。
一度噛まれた傷は、一生残る大けがになりかねません。誠実に、セキュリティ対策と向き合う必要性を、少しでも感じていただければ幸いです。
