HOMEセキュリティ特集セキュリティ対策がされていない

第五回 セキュリティ対策がされていない

セキュリティ対策がされていない

IoT機器の脆弱性について把握や対策をどのように行なっていくべきか、
第四回では利用者として何をすべきか、第五回では開発者として何をすべきか
考えていきたいと思います。

〜〜〜

2016年3月、英国では5300万台のスマートメーターにハッキングを可能とする重大な問題が発見され、
システムを保護するために英国の諜報機関である政府通信本部(GCHQ)までもが介入することとなりました。

各スマートメーターとそれらを操作する装置の間の通信は、暗号化されるように設計されていたのですが、
各スマートメーターが送受信するデータの暗号を解読するためのキーが全て同じだったのです・・・。

このことによって、110億ポンド(≒1.5兆円)かけて英国内に張り巡らされた電力網が、
悪意を持った攻撃者に破壊されてしまう危険性があるということが明らかになりました。

また、本コラム第四回(脅威に変わるとき)でハードウェアであってもソフトウェアで動いているというお話を
させていただきましたが、多くのIoT機器では同様に保守・メンテナンスをするために、
ソフトウェアの変更を外部から行なえる仕様となっています。

しかし、ソフトウェアを変更する際に利用される通信に、Telnet(テルネット)プロトコルと呼ばれる
暗号化を行わずに通信をする方式が採用されてしまっている製品が多いという問題があります。

国立研究開発法人 情報通信研究機構(NICT)によると、2014年頃よりTelnetを使った攻撃が
増えているそうですが、この攻撃の多くがIoT機器を狙ったものであることが予想できます。

ソフトウェアの変更ができるということは、悪意を持ったプログラムへの書き換えも
可能であるということを同時に意味します。
また、悪意のある攻撃者は、悪意のある設定を機器にしてしまえば、
わざわざマルウェアなどを埋め込まなくても、通信の盗聴などが可能となってしまいます。

脆弱性はセキュリティを意識しない開発者自身だった

米国国立標準技術研究所(NIST)の策定したガイドラインにおいても、
ソフトウェアの改ざんをされないような対策を取ることが推奨されています。

つまり、前述のスマートメーターのように暗号を解読するためのキーが全て一緒であったり、
そもそも暗号化自体がされていない機器が多く存在してしまっていることで、
IoT機器は悪意を持った攻撃者が容易に侵入できてしまう脆弱性を抱え込んでしまっているのです。

本コラム第一回(サイバー犯罪の代理人)では、IoT機器が乗っ取られることによって、何者かがIoT機器を遠隔操作し、
映画に出てくるゾンビの大群のように押し寄せてくるサイバー攻撃のお話をさせていただきました。

IoT機器が悪意を持った攻撃者に乗っ取られるまでの手法や事例を見ていきますと、
これまでインターネットサービスやアプリケーションなどに対して行われてきた攻撃手法と比較して、
悪意を持った攻撃者は必ずしも高度な方法を取る必要がありません。

IoTの世界はマーケットファーストで急成長しているため、
IoT機器の多くがセキュリティを考えて作られていないからです。
そのため、IoTのセキュリティは90年代のITセキュリティのような状態となってしまっています。

スペインのITコンサルティング企業のCEOが、昨年のNATOのカンファレンスで発表した調査報告によると、
利用者の約半数(48%)はIoT機器に必要なセキュリティが確保されていると思ってIoTを利用しているものの、
開発者の90%は、必要なセキュリティが確保できていないと認識しているという
衝撃の事実が判明しました。

90%の開発者が、現状のセキュリティ対策では不十分であると認識しているということも、
同時に言えるかもしれません。

開発者が今すぐ実践できるセキュリティ対策とは

それでは、IoT機器の開発者はどのようにセキュリティ対策に取り組んでいけば良いのでしょうか?

まず、IoT機器の開発者がセキュリティ対策に取り組んでいくときは、
設計段階からセキュリティ対策を前提として取り組んでいかなくてはなりません。

なぜなら、設計時のセキュリティ対策コストを1とすると、開発時からセキュリティ対策を行うと6.5倍、
テスト時からでは15倍、そして運用中のものに対しては100倍のコストが掛かってしまうからです。
この考え方を、「セキュリティ・バイ・デザイン(Security by Design)」と呼んでおり、
独立行政法人 情報処理推進機構(IPA)などでも推奨されています。

そして、IoTのセキュリティについて考えていく際には、セキュリティ課題の解決を目的とした
国際的なコミュニティであるOWASPが、2014年に公開した10大リスクとその対策がとても参考になります。
開発者の方は参照してみてください。
OWASP Internet of Things (IoT) Top 10

ここでは、不十分なセキュリティ設定を改善するためのアプローチや、
ソフトウェア/ファームウェアのセキュリティを確保するためのアプローチが述べられていますので、
IoT機器の設計段階からこの考え方を取り入れていけます。

悪意を持った攻撃者は、IoT機器だけでなく、バックエンドのサーバ、ゲートウェイ、
センサー/アクチュエーター、これらを繋ぐ通信などIoTのエコシステムを形成する
コンポーネントの各所から侵入を試みてきます。

まずは、現状のセキュリティ対策がされていない状況を改善し、
IoTのシステム全体でセキュリティ対策の向上に努めていかなくてはなりません。

執筆者

足立 照嘉

足立 照嘉

千葉大学大学院在学中にIT企業を設立し、以降国内外のサイバーセキュリティ関連企業への投資や経営に参画。
2017年1月現在で34ヶ国に展開し、サイバー空間をリアルとの双方向から観測し研究中。
テレビのコメンテーターなどにもアドバイスを行なっている。