2017年 2月 1日公開

企業のITセキュリティ講座

【アーカイブ記事】以下の内容は公開日時点のものです。
最新の情報とは異なる可能性がありますのでご注意ください。

IoTが脅威になる時代

テキスト/吉澤亨史

IoT時代は既に始まっており、現在は急激に拡大しつつある段階と言える。さまざまなモノがインターネットにつながることで、生活や仕事、環境などがより便利に、安全になるとされている。しかし、一方でIoTを狙うサイバー攻撃も確認されており、会社や個人が大きな影響を受ける可能性もある。今回はIoTの脅威についてまとめてみよう。

2020年には500億台になるIoT機器

IoTとは「Internet of Things」の略で、「モノのインターネット」と呼ばれる。あらゆるモノがインターネットに接続されるという意味だ。パソコンやスマートフォンといった情報機器はもちろん、テレビ、冷蔵庫などインターネット家電と呼ばれる製品も普及し始めている。オフィスのOA機器も同様で、複合機やテレビ会議システム、防犯カメラなどもIoT化している。街中やさまざまな施設にもIoT機器が増えてきている。

IoT化することで、モノをセンサーにしたり、リモコン代わりに使えるようになる。例えば、冷蔵庫のドアの開閉や湯沸かし器の利用を検知して、一人暮らしの高齢者の活動状況を遠隔地から確かめたり、外出先から自宅のエアコンのスイッチを入れたり、お風呂にお湯をためたりできる。さらには、橋のたわみを感知するセンサーや、川の水位を検知するセンサーなどで危険の回避にも活用できる。

このように、幅広い分野に活用できるIoT機器は増加の一途(いっと)をたどっており、2020年には500億台に達すると予測されている。その一方で、IoT機器のセキュリティも懸念されている。特に通知機能のあるIoT機器は、その機能を悪用される可能性があり、実際に数百万台のIoT機器を悪用した大規模なサイバー攻撃も発生している。IoT機器のセキュリティ対策は喫緊の問題なのだ。

組織内に存在するさまざまなIoT機器のイメージ(出典:IPA)

組織内に存在するさまざまなIoT機器(出典:IPA)

目次へ戻る

IoT機器を悪用する攻撃

IoT機器はインターネットに接続されているため、IoT機器にはそれぞれ固有のIPアドレスが割り振られている。IPアドレスとはインターネット上の住所のようなもので、IPアドレスが分かれば逆にインターネット側からIoT機器にアクセスすることもできる。例えば、セキュリティ対策をしていない監視カメラのIPアドレスが分かれば、そのIPアドレスにアクセスすることでカメラの映像を見ることができる。つまり、世界中のどこからでもインターネット経由で映像を盗み見することができてしまう。

また、通知機能を持つIoT機器には、多くの場合サーバー機能を搭載している。このようなIoT機器のIPアドレスにアクセスすると、管理画面を表示できる場合がある。管理画面にアクセスできれば、設定を自由に変更することができる。不正なアクセスを防ぐために、管理画面にはIDとパスワードによる認証機能がある。しかし、IDとパスワードの組み合わせを初期設定のまま使用していたり、変更はしていても推測されやすいものにしていたりするケースが多いのも事実だ。

サーバー機能を持つIoT機器とその脅威(出典:IPA)

サーバー機能を持つIoT機器とその脅威(出典:IPA)

その結果、攻撃者は簡単に認証を突破して管理画面にアクセスし、設定を変更するケースが多発している。具体的には、通知機能を悪用してスパムメールを送信したり、マルウェアを仕込ませたサイトにアクセスさせるメールを送信したりする。また、IoT機器にマルウェアを感染させるケースも確認されている。IoT機器に感染するマルウェアは既に複数存在しており、その中でも「Mirai」と呼ばれるIoTマルウェアは、大規模なDDoS攻撃を行っている。

Miraiは、IoT機器の脆弱(ぜいじゃく)性を悪用して感染し、IPアドレスを偽装してリクエストを送信する。その多くはDNSやNTPのリクエストで、これらは少ないデータを送ることで、その数倍から数十倍のデータが返ってくるという特徴がある。サイバー攻撃者は数万台のIoT機器をMiraiに感染させ、攻撃対象のIPアドレスに偽装してリクエストを送った。数万台のIoT機器からのリクエストは、数十倍になって標的のホームページに送られ、長時間にわたりホームページが閲覧不能になる記録的なDDoS攻撃となった。

このほかにも、IoT機器を感染させるランサムウェアの登場を多くのセキュリティ研究者が指摘している。これは技術的には既に可能であり、セキュリティイベントでもしばしばデモが行われている。ランサムウェアは、パソコンのデータを暗号化することで使えなくし、データを使えるように復号化するために“身代金”を要求するマルウェアだ。

例えばIoT機器が感染した場合、お金を払わないとエアコンの設定温度を最高にする、あるいは工場の機器を誤作動させる、さらには自動車を加速させ、ブレーキを使えなくするといったケースが考えられる。パソコンなどと異なり、人命に関わることがIoTランサムウェアの怖さだ。

目次へ戻る

警察庁やIPAも注意喚起、IoT機器の設定チェックを

IoT機器へのサイバー攻撃が現実的になったことで、日本でも警察庁やIPA(独立行政法人情報処理推進機構)などが注意喚起を行っている。これらによると、サイバー攻撃者は悪用可能なIoT機器を探すスキャン行為をしばしば行っている。また、SHODANやCensysといったIoT機器などのIPアドレスを調査し、その結果を公開している団体も存在する。常に攻撃にさらされていることを意識するべきだろう。

SHODANやCensysに登録されている日本のIoT機器の台数(出典:IPA)

SHODANやCensysに登録されている日本のIoT機器の台数(出典:IPA)

特に企業におけるIoT機器のセキュリティ対策として、IPAでは「管理の明確化」「ネットワークによる保護」「IoT機器の適切な設定」を挙げている。管理の明確化では、IoT機器を社内ネットワークに接続するリスクとルールを周知させることや、管理者を明確にすること、意図せずしてインターネットに公開されているIoT機器を把握することを挙げている。

ネットワークによる保護では、必要がない場合はIoT機器をインターネットに接続しないこと、接続する場合にはファイアウォールやブロードバンドルーターを経由させること、ネットワークセグメントを適切に分離し、管理機能へのアクセスを制限することなどを挙げている。

IoT機器の適切な設定では、使用しない機能をオフにすることや、管理画面にアクセスするためのIDとパスワードを予測しづらいものに変更したり、ファームウェアの更新を定期的にチェックし、常に最新のファームウェアにすることを挙げている。

IoT化は確実に進行しており、これまで想定していなかったような機器がインターネットに接続されるようになる。IoT機器がきっかけで企業内にマルウェアが侵入したり、知らないうちに攻撃に加担してしまう可能性もある。加害者になってしまわないためにもIoT機器を正しく理解し、正しい運用を心掛けたい。

画像参照元:IPA テクニカルウォッチ「増加するインターネット接続機器の不適切な情報公開とその対策」

目次へ戻る