バリエーションに富んだIoT機器が市場に登場し、IoTのユースケースやメリットの認知も進みつつある。家庭、オフィス、工場などさまざまな場所でIoTの利用が広がりそうだが、セキュリティに問題はないのだろうか?

ラックでサイバー・グリッド・ジャパン サイバー・グリッド研究所のチーフを務める渥美清隆氏は、「今のIoTの世界はWindows 95/98が使われていた頃のPCのような状態」と形容する。渥美氏に、IoTセキュリティの現状、そして機器メーカー、プラットフォーム提供者、ユーザーができることについて聞いた。

ラック サイバー・グリッド・ジャパン サイバー・グリッド研究所 チーフ 渥美清隆氏

懸念が現実に、IoT機器を狙う攻撃は今後も増加する

IoTセキュリティは想定外の事象ではない。専門家は古くから警告を鳴らし続けてきた。そんな中、2016年にWebカメラなどのLinuxベースのIoT端末を狙った「Mirai」が大きく取り上げられるなど、懸念は現実のものとなっている。

渥美氏は状況を楽観していない。「この1~2年で数え切れないぐらい、IoT端末を狙った攻撃が行われている。今後も増えるだろう」と予想する。

傾向として、3、4年前に発売された機器が狙われているという。例えば、2013年にあるメーカーのブロードバンドルータの脆弱性を狙った攻撃が報告された。この脆弱性を突いてISPの契約情報が盗み出すというもので、攻撃者は盗んだ情報を悪用して乗っ取ることが可能になる。この攻撃については警視庁から発表が行われており、メーカーも告知したが、現在でも攻撃件数はゼロになっていないという。

IoT機器の問題は、PCにおけるWindowsアップデートのような手段がない点だ。つまり、脆弱性が存在した場合、放置されたままとなる。かといって、膨大な数の機器が出荷されており、個別に製品の脆弱性を指摘することも難しい。このようなことから、「フタを開けてみたら、脆弱性があるIoTデバイスが世の中にたくさんばらまかれており、攻撃者が自由に攻撃できる状況ができている」と、渥美氏は解説する。

IoTの攻撃は複雑 - 仕組みの脆弱性もある

IoTの場合、攻撃も複雑だ。PCを狙う攻撃とは異なり、ソフトウェアの脆弱性を悪用し、ネットワーク経由でサーバを攻撃するといった形態だけではない。IoT独自と言えるのが、「仕組みそのものの脆弱性」だ。

渥美氏は、温度を管理するセンサーとヒーターの両方がネットワーク経由で制御されているプラントを想定した次のような例を紹介する。

攻撃者がセンサーを攻略して「温度が低い」という誤った情報を流し続けると、ヒーターはそれに呼応して熱を出す。その結果、プラントの温度はどんどん上昇し、沸騰状態から圧力が上がりタンクが爆発するといった事項も考えられる。攻撃しているのはセンサーだが、実際の爆発が起こるのはタンクといったように、攻撃した場所とは異なる場所で問題が起こるわけだ。

「IoTを狙う攻撃の手法は多岐にわたる」と渥美氏は述べながら、視点を変える必要性も訴える。ITセキュリティで重要とされる機密情報は、IoTにはあまり関係ない。「IoTにおける問題は機密ではなく、動かなくなること」と渥美氏は述べる。

上記のプラントがその例だが、渥美氏は自動車の例も紹介する。コネクテッドカーでは、運転手がブレーキペダルを押すとセンサーがその量を計測し、アクチュエーターがブレーキを制御するが、このセンサーが攻略されるとどうなるか――センサーがデータを一切出さなくなると、運転手がブレーキペダルを踏んでも、実際にはブレーキがかからないという状況を作り出すことが可能になる。

これらは「実際に起こりうるリスク」と渥美氏は指摘し、「機密性と違うレベルにもリスクがあること、事故を起こすのが必ずしも攻略されたポイントではないこと」を知っておく必要があると語る。この点に合わせて、IoTではリスク評価も変わってくるだろうと予想する。

対策はまだ手探り状態

このようにIoTセキュリティを取り巻く現状は実に複雑だ。対策は進んでいるのだろうか? 渥美氏はまず、ユーザーとメーカーの視点から説明してくれた。

個人向けのIoTデバイスの場合、「メーカーがファームウェアのアップデートを行うなどの取り組みも見られる」と評価する一方、最終的にはユーザーが手動でパッチを当てなければならず、ユーザーが気がつくかどうかという関門が残っている。もし、気がついたとしても課題は残る。

なぜなら、自分の機器がDDoS攻撃に悪用されたとしても、現時点では法律的な義務はないため、使い続けても機器の持ち主にデメリットはないからだ。つまり、攻撃に悪用されている機器を所有しているユーザーがメーカーに問い合わせるなどのアクションにつながらない可能性があるのだ。

一方、機器を作る組み込みメーカーは、これまでネットワークにつながっていない製品を作ってきたという経緯がある。そのため、機器が「IoT時代の脅威やリスクに対する備えを考慮した設計になっていない」と渥美氏は指摘する。

対策をとろうにも、コストに見合うかと言う問題もあり、まだ取るべき対策が見えない状況という。「1万円の製品に2万円のファイアウォールを搭載するのは現実的ではない」(渥美氏)。また、CPUやメモリなどリソースの制限がある中、どのような対策が有効なのかもまだわからない状態だという。

このように、ユーザー側もメーカー側も意識を変えていかなければならない段階だという。渥美氏は、「今のIoTの世界は、Windows 95/98が出て、PCがインターネットに接続され始めた頃と同じような状況」とたとえる。