IoTセキュリティはインターネット黎明期の状況に似ている
IoTデバイスの爆発的な拡大を前に、セキュリティ対策の新しいあり方に関心が集まるようになった。IoTデバイスはこれまでにない勢いで規模を拡大している。エリクソンの調査レポート「Ericsson Mobility Report 2016」によると、IoTデバイスは2018年にモバイルデバイスの78億台を超え、2021年には157億台に達する見込みだ。
さらに、2035年には2750億台となり、2015年からの20年間でインターネットにつながるデバイスの累計数は1兆個という途方もない規模になる。1兆個ものデバイスのセキュリティ管理をどう行っていけばいいのか。そんななか、これまでとは異なるセキュリティ管理のアプローチが求められている。
パロアルトネットワークスの林薫氏は、IoTセキュリティの脅威の状況は20年前のインターネットに酷似していると話す。
「インターネットが爆発的に普及する直前の1995年頃は、セキュリティ対策が施されていない無防備なPCがたくさんありました。ファイアウォールなどの考え方も十分に浸透しておらず、インターネットに開放されたポートから、個人のPCや企業の社内システムに侵入しようという興味本位の愉快犯を大量に生み出しました。それと同じようなことが約20年経ったいま、IoTを巡って起こっているのです」
例えば、IoTセキュリティでしばしば脅威の典型例に挙げられるWebカメラのハッキングがそうだ。Webカメラを自宅のPCに接続し、外から家の様子を監視しようというユーザーは少なくない。その際、何の対策も行わないままWebカメラの映像を外部に公開し、誰でも映像を見られるような状態にしてしまう。
「そうしたPCは、ツールを使って機械的に探し出すことができます。外部に公開されたIPアドレスに対して順番につながるかどうかを試していき、つながった場合に不正アクセスが可能な端末としてIPアドレスをリスト化します。もちろん、Webカメラを外部に開放する際にIDとパスワードで制限することもできますが、デフォルトで設定されているIDとパスワードのまま公開してしまうケースも少なくない。そうしたIDやパスワードは、メーカーのマニュアルなどをインターネット上で検索すれば誰でも探すことができます」
実際、日本でも、カラオケ店や倉庫、工場などに設置された監視カメラがリスト化されてインターネット上に無数に公開されたことがあった。設定が不十分で対策が施されていないIoTデバイスを見つけ、愉快犯が面白がるのは、20年前とまったく変わっていない。「問題は、興味本位の愉快犯から、金銭目的の攻撃犯までの移行は驚くほど早いということです」と、林氏は警告する。
攻撃は「乗っ取りとDDoS端末化」から「金銭目的」へ
林氏はパロアルトネットワークスで、Unit 42と呼ばれるマルウェア解析チームに所属するインテリジェンスアナリストだ。PC黎明期からマルウェア研究に携わり、インターネットの脅威からいかにして情報資産を守っていくかについて、知見とノウハウを蓄積してきた。
現在のIoTデバイスのサイバー攻撃の中心は「乗っ取り」と「攻撃端末としてのボット化」だという。乗っ取りというのは、IoTデバイスを外部から操作可能にしてしまうこと。乗っ取りと言う、と難解で高度なテクニックが必要であるとと感じるだろう。実際、PCを乗っ取ろうとすると、未知や既知の脆弱性を悪用したり、攻撃用ツールを使ったりする必要があり、少なくとも現状では、一般人が気軽にできることではない。
だが、IoTデバイスは、多少の知識があれば簡単に乗っ取れるほどな危険な状況だという。先程のWebカメラのケースもそうだが、IoTデバイスは基本的にキュリティを十分に考慮して開発されているわけではない。また、ほとんどの場合、セキュリティ面で脆弱な点が発見されても、あとからそれを修正する仕組みも備わっていない。IoTデバイスのOSには機能が制限された軽量のLinuxが使われることが多いが、オープンソースであるため、公開された情報をもとに攻撃手法を解析しやすいという面もある。
「膨大な数の脆弱なデバイスが放置されつづけているのが現状です。ネットワークルータやセンサ、管理用機器など多くのデバイスにLinuxベースになっています。そうしたデバイスが、デフォルトのパスワードのまま設置されているだけで、攻撃者は、簡単に乗っ取ることができます。ツールをつかって自動的に見つけ出し、乗っ取ることができると分かれば、遠隔からそのまま乗っ取ることができます。乗っ取られた側は、そのことに気づかないのも怖いところです」(林氏)
乗っ取ったデバイスは、他者への攻撃用端末としてボット化される。攻撃として最も多いのはDDoSだ。少量のパケットを生成するIoTデバイスを数百、数千という規模で組織し、大量のパケットを攻撃先に投下する。大規模なアクセスによりサーバがダウンすれば、愉快犯の目的はひとまず達成したことになる。
だが、乗っ取りやすく、そのための対策が難しい以上、金銭目的の攻撃にシフトしていくことは十分予想される。工場に設置されたセンサなどから侵入して管理機器から重要データを盗んだり、デバイスを遠隔から操作して工場を操業停止に追い込んだりといったことにまで対応していく必要がでてくるのだ。
ネットワークの観点からの保護が有効
どう対策していくべきなのか。林氏は、まずは過去から学習することが大事だと指摘する。
「インターネットの黎明期に愉快犯が増加したひとつの背景は、PCの16ビットから32ビットへの移行にあわせて、攻撃者がそれまで使っていた攻撃手法を移行しやすかったことがあります。ただ、64ビットへの移行では、守る側も32ビットのときの反省を生かして、64ビット環境での32ビットの動作を制限するなどの対策をとりました。IoTセキュリティでも、企業自身がそうした態度を取り続けていくことが求められます」(林氏)
こうした対策を実施した代表的な企業がマイクロソフトだという。同社は2002年、ウイルスが猛威をふるい、社会的に大きな影響をあたえるなか、セキュリティ更新を行うための仕組みづくりと、設計段階からセキュリティを考慮する開発体制を整備しはじめた。こうした取り組みは現在の「セキュア開発ライフサイクル(SDL)」や「セキュリティバイデザイン(SBD)」と呼ばれる考え方の端緒になった。IoTデバイスのメーカーにも、そうした態度を徹底していくことが求められるわけだ。
しかし、IoTデバイスメーカーが設計段階でのセキュリティに努めたとしても、数多くのデバイスが脆弱性を持ったまま放置されている現状は変わらない。まして、設計段階からのセキュリティの取り組みが実を結ぶのは、10年スパンの長期的な取り組みだ。生き馬の目を抜くようなIoTの世界で、セキュリティを考慮した取り組みが普及するには相当の企業努力と時間が必要になる。
パロアルトネットワークス セキュリティプラットフォーム エバンジェリストの藤生昌也氏は、こうした状況への対策として同社が提案しているのは「ネットワークとエンドポイントの保護」と話す。
ネットワークについては、ファイアウォールでセグメンテーションを分けることでセキュリティを強化するとともに、アプリケーションレベルで通信を可視化する。同社の次世代ファイアウォール製品は、工場で一般的に利用されるプロトコルにも対応する。
エンドポイントに対しては、攻撃者が行う手法を阻害することで攻撃を失敗に終わらせる製品「Traps」、クラウドを活用した未知の脆弱性対策ソリューション「WildFire」を展開する。
「工場に新たなセキュリティデバイスを導入することは、生産性を落とすことにもつながりかねません。工場のスタッフから反発を招くケースもあるでしょう。ただ、IoTデバイスの対策を不十分なまま放置するわけにはいきません。もともとクローズだったものが、インターネットのオープンな世界につがることで、さまざまなリスクが生じるようになります。ネットワーク上で脅威を可視化し、制御することは、コストやリスクの面からも有効な選択肢になってくるはずです」(藤生氏)
今後、工場にかぎらず、あらゆるものがインターネットにつながってくる。メーカー側の努力で20年後、1兆個のデバイスすべてがセキュリティで保護された状況に置かれるのが理想だろう。しかし、現実は、黎明期で対策が進まない混乱に乗じて、古臭い攻撃手法がそのまま通用してしまっている状況だ。
林氏は「デバイスがボット化される現状はしばらく続きます。メーカーに頼るだけでなく、使い手側が企業の情報資産をしっかり守るという意識を持つことが重要です」とアドバイスする。