同社はスマートテレビについても実証実験を行っており、その動画を見せてもらった。実証実験では、ルータの脆弱性を悪用して、接続先を書き換えるとともに、Androidを搭載しているセットトップボックスにランサムウェアを感染させ、テレビを見ることができなくなっていた。
具体的な攻撃の流れはこうだ。接続先が書き換えられたルータにユーザーがアクセスすると、ユーザーは本来接続すべきWebサイトではなく、攻撃者が用意した偽のWebサイトに接続してしまう。このサイトから、アプリとしてランサムウェアがダウンロードされ、テレビが感染してしまう。その結果、画面には身代金を要求するメッセージが表示され、テレビの機能は使えなくなってしまう。
森本氏は「IoTデバイスを狙う攻撃は人を介さないものになっていくかもしれませんが、ホームセキュリティに関しては、これまでと同様に人をだます手口が攻撃のポイントとなると考えられます。そのため、注意喚起は欠かせません」と話す。
利用者がつながっていることを意識せずに使えるIoTデバイスを
先に、IoTセキュリティへの対策として「注意喚起は欠かせない」と書いたが、同社としては別なアプローチも考えている。
IoTデバイスの問題点として、セキュリティの設定が不十分であったり、初期のパスワードがそのまま使われていたりと、ユーザーの責任に負うものも少なくない。
しかし、森本氏は「IoTデバイスの中には設計上、セキュリティが考慮されていないものがたくさんあります。だからこそ、われわれは、ユーザーがインターネットに接続していることを意識せずに、IoTデバイスを使えるようなアプローチをとりたいと考えています。ユーザーがIoTデバイスにセキュリティ対策を実施するのではなく、安全なIoTデバイスを提供することを支援したいと思っています」と語る。
その取り組みの1つが、車載システム向けSDKの提供だ。セキュリティモジュールをSDKとして提供することで、そのSDKを製品に組み込んでもらうことを狙っている。
あわせて、前述した車載ステム向けの脆弱性管理システムを利用すれば、同社のSDKを採用したデバイスメーカーは、自社製品の脆弱性を管理し、攻撃を受けた場合も速やかに対処することが可能になる。
同社は昨年、IoTセキュリティに関する専門情報サイト 「IoT Security Headlines」を公開を立ち上げたが、最も人気があるコンテンツは「『IoT』にも『セキュリティ』が必要?」だという。今、IoTにセキュリティが必要であるかどうかを検討する段階の人が多いという現れだろう。
基本的には、使う人が責任を持って自身が利用するデバイスのセキュリティを確保する必要があるが、中には、ファームウェアをアップデートする機能を備えていない機器もある。
そうなると、ユーザーからすれば、トレンドマイクロが目指す「インターネットにつながっていることを意識せずに、IoTデバイスを使える世界」は魅力的だろう。今度の同社の取り組みに期待したい。