事例Use case

いよいよ待ったなしのIoTセキュリティ、次の一手を探る

2019.8.15

ツイート シェア 送る はてブ

IoTを介して現実世界とサイバー空間の融合が進み、これまでになかった便利なサービスや新たな価値が生み出される一方で、それを狙ったサイバー攻撃が深刻な影響をもたらす恐れも高まっている。そんなIoTのセキュリティを巡る課題をいち早く捉え、問題提起を行ってきたのが「IoTセキュリティフォーラム」だ。最新の研究成果を踏まえて7月30日、31日に開催された「第4回 IoTセキュリティフォーラム」の模様を紹介しよう。

session.jpg

脆弱なIoT機器を探るのはShodan以外にもーー未知のスキャンシステムの目的は?

インターネットにはデフォルト設定のままの脆弱なIoT機器が多数接続されているーー横浜国立大学大学院環境情報研究院/先端科学高等研究院の吉岡克成准教授は、世の中でIoTのセキュリティが話題になる前から、たびたびそんな警鐘を鳴らしてきた。

吉岡准教授は「IoTを狙った全世界的ネットワーク偵察の激化への対応~エンドユーザへの効率的な注意喚起の観点から~」と題する基調講演において、IoT検索エンジンとして広く知られている「Shodan」以外にもインターネットにつながる機器を検索するエンジンが複数存在しており、その偵察活動が激化していることを説明した。

吉岡准教授は長年にわたって、おとりのネットワークカメラなどを用いてIoT機器に対するスキャン行為や攻撃行動を調査してきたが、目を世界に転じると、同じように研究目的でIoT機器を検査し、その結果を公開しているサイトがいくつかある。前述のShodanもその1つだ。他にも、2週間に1回のペースで1,009種類のポートに対してスキャンを行う「Censys」、IPカメラに特化し、情報を収集するだけでなくリアルタイムにカメラの画像を閲覧できる「Insecam」など、さまざまなサービスがある。

「実は世の中に、こうしたスキャンシステムはたくさんある。Censysのように仕組みや目的を公表しているものもあるし、危ないポートが空いていたり弱いパスワードが設定されていないかを調査するために総務省が開始した『NOTICE』もその1つだ。その多くはセキュリティ企業や公的機関によって運営されており、実態が把握できるが、そうではなく、フロントエンドもない知られていない探索システム、実態が不明な探索システムがある」(吉岡准教授)

この仮説を検証するため吉岡准教授は、研究室が運営する観測網にやってくるスキャンパケットを、頻度と網羅性の観点から解析してみた。すると、既知の観測網やMiraiのようなマルウェアによる無作為の探索パケット以外の通信の存在が見えてきたそうだ。「ウイルスが暴れているのではなく、明らかに人為的にシステマティックにスキャンを行っているシステムが大量にある」(吉岡准教授)

吉岡准教授はこうした未知の検索システムの動きを探るべく、おとりの監視カメラを2台、研究室のネットワークに接続してみた。すると、Insecamに掲載された監視カメラには、もう1台に比べ2,000倍もの多数のアクセスがあったという。誰かに宣伝したりしなくとも、既知の検索エンジンに掲載されるだけでこれだけのアクセスが発生することが分かった。

IoTsecurityforum_yoshioka01.jpg

横浜国立大学
吉岡 克成 (よしおか かつなり)准教授



また、排水処理施設などを装ったおとりの遠隔監視システムを設置したところ、こちらにもさまざまなアクセスがあった。それも、Miraiのように単純で自動化された攻撃だけではない。制御パラメータを変更してみたり、年間利用料金が数千ドルに上るプロフェッショナル仕様のツールを用いてWebアプリケーションの脆弱性を探そうとしたり、あらかじめシステム内に仕込んでおいたIDとパスワードを利用してラテラルムーブメントを行い、侵害範囲の拡大を試みたりと、さまざまな行動が観測できた。また、1回限りで終わるアクセスもあったが、中には数十日から200日もの時間をかけて継続的にアクセスしてきた攻撃者もあったという。

「中には、高度な手法を使った痕跡を残したものもあった。普通のITシステムをターゲットにした攻撃に比べ、産業制御システム(ICS)を狙う攻撃者は多くの時間をかけており、非常に強い興味と執着が伺えるし、高度な技術力も伺える」(吉岡准教授)


攻撃者よりも先に脆弱な機器を見つけ、通知し、対応してもらうことが対策に

吉岡准教授は「こうした攻撃者は、未知の探索システムからきたのではないか。脆弱な機器を検知してわれわれのおとりシステムにもやってきたのではないか」と推測している。

では、そんな未知の検索エンジンに対抗する術はあるのだろうか。吉岡准教授は「対策として、攻撃者よりも早く脆弱な機器を見つけ、早く知らせて対応してもらうことに取り組んでいる」と述べた。前述のNOTICEもその一つだが、同研究室ではオランダの通信事業者であるKPNと連携し、吉岡研究室で検知した攻撃元のIPアドレスを把握し、KPN経由で機器の所有者に通知し、対処を促す取り組みを行ってきた。

このプロジェクトでは、より効果的な注意喚起方法を探るため、メールによる通知の他に、強制的に外部との通信を遮断してWebブラウザにその旨を表示する「強行手段」も取り、ユーザーの対応にどのような差があるかを調査したという。その結果「メールは出してもあまり読んでもらえず、効果が薄かったのに対し、隔離環境に誘導してWebで通知する策は高い効果が得られた。ただこの方法はコストがかかる上に強権的だ。フィッシングへの悪用も容易に想像できる」(吉岡准教授)

この結果を踏まえて吉岡准教授らは、ユーザーにとって自然かつ効果の高い方法として、スマートフォンの専用アプリを用いた通知を検討していると言う。現在、情報通信研究機構(NICT)では複数の企業と協力し、サイバー攻撃を検知すると自動的にブロックし、ユーザーに警告やアドバイスを表示する「WarpDrive」プロジェクトを展開している。今は一部のWebブラウザを対象とした取り組みだが、これをスマートフォンのアプリの形でも提供し、IoT機器の感染通知に利用していく構想だ。近々正式に発表する予定で、リリースの暁にはぜひ参加してほしいと呼び掛けた。

「公知だけでなく未知のIoT機器探索システムが活発化しており、どこまで悪用されているかどうかは不明だが、不要なアクセスがすでに発生している。こうした状況では、攻撃者より先にセキュリティの不備を見つけ、通知し、対策していく必要がある」と吉岡准教授。また、ML/AIを活用して発見の効率を高めたり、「デセプション」と呼ばれるおとり技術の活用も検討し、IoT機器をプロアクティブに守っていく方法を研究していくという。

あなたも加害者に? SOHOやホームネットワークのIoT機器が攻撃源となっている実態

外部からの不正アクセスも深刻な問題だが、自分の管理下にある端末や機器が攻撃者に乗っ取られ、第三者へのサイバー攻撃に悪用されるのも見過ごせない事態だ。自身が「被害者」となるだけでなく、無関係な人々に対する「加害者」になってしまう恐れがある。

クルウィットの代表取締役である国峯泰裕氏と、BBソフトサービスの山本和輝氏は「いまさら聞けない! ダークネット観測とIoTサイバーセキュリティ対策のあれこれ」と題するセッションを通して、自分たちが被害者にも、また加害者にもならないためにどんな対策を検討すべきかを、デモストレーションを交えながら説明した。

クルウィットでは、ダークネット宛の通信を観測してサイバー攻撃を見つけ出す「SiteVisor」というセキュリティサービスを提供してきた。

SiteVisorは、NICTのサイバー攻撃可視化システム「DAEDALUS」を商用化したもので、基本的な発想は共通だ。正常な通信ならば送信元と送信先の二者があるが、何らかのマルウェアに感染した場合、次の感染先を求めて無差別に通信を行う。PCやIoT機器がつながれて使用中のIPアドレスだけでなく、その先に何もない、使われていないIPアドレス宛にもパケットをバラまくことが特徴だ。SiteVisorはこうした未使用IPアドレス、いわゆる「ダークネット」宛の通信を観測し、もし送信元IPアドレスが顧客企業のIPアドレスだった場合に「マルウェアに感染している恐れがある」と通知するサービスだ。

iotsecurityforum_kunimine01.jpg

株式会社クルウィット
代表取締役 国峯泰裕氏



クルウィットの国峯氏によると、「2014年ごろはPCに感染するマルウェアが多かったが、2015年頃から少しずつIoTマルウェアが増えてきた。2019年になると、観測している約2,200億パケットのうち半分がPCマルウェア、半分がIoTマルウェアとなっている。けっしてPCマルウェアが減っているわけではなく増加しているが、それ以上にIoTマルウェアによる通信が増えている」という。

2019年6月の最新の観測では、世界の約45万のIPアドレスから、1ケ月で約1,300万ものパケットがセンサーに届いていた。このうち日本のIPアドレスは約2,000件と非常に少ない。

それも「『co.jp』からのパケットはとても少なく、たかだか10IPアドレス程度で、残りはほぼISPからとなっている。つまり、小規模企業やSOHO、一般家庭の機器がマルウェアに感染している」と国峯氏は指摘し、予算や人手がある企業とは異なり、SOHOや個人での対策に手が行き届かないことが大きな課題だとした。

こうした状況を踏まえてBBソフトサービスでは、ホームネットワーク全体を保護するアプライアンス「Bitdefender BOX」と、それを活用したセキュリティサービス「SECURIE 」を提供している。

「IoTマルウェアは、2016年に登場したMiraiのようにデフォルトのIDとパスワードを用いて攻撃するものから、IoT機器の脆弱性を狙うものへと変化し、最近では『VPN Filter』のように感染した機器の背後にある機器に影響を与えようとするIoTマルウェアが登場している。オーディオ機器やテレビ、あるいは冷蔵庫といった家庭用IoT機器はこうしたマルウェアに対し無防備だ」(山本氏)。それをネットワーク側で守るのがBitdefender BOXだという。

iotsecurityforum_yamamoto02.jpg

BBソフトサービス株式会社
セキュリティエバンジェリスト 山本和輝



その上で山本氏は、開発元のBitdefenderが行った興味深い調査結果を紹介した。

自宅のネットワークにどのようなIoT機器が何台つながっているか、正確に把握できている人はおそらくそう多くないだろう。国峯氏が「数えるたびに増えていく」というのも不思議ではないほど、ゲームに家電など、さまざまな機器がホームネットワークにつながるようになっている。Bitdefenderの調査によれば平均で約20台のIoT機器がつながっていることが明らかになった。

しかも悪いことに、Wi-Fiルータのファームウェアを更新しない人の割合は60%に上ることも明らかになった。山本氏は「実感としては、もっと多いように思う」という。一方で、ファームウェアに起因する脆弱性の割合は95%に上っているという。

「IoT機器を狙ったサイバー攻撃は非常に多いが、結局、その攻撃を仕掛けているのはマルウェアに感染したIoT機器だ。SiteVisorのようなサービスで、まず自分たちの企業の中に、マルウェアに感染して踏み台になっている機器がないかをきちんとチェックすることが重要だ。そして、台数すら把握できずやっかいなIoT機器を、Bitdefender BOXが備えるIPSや脆弱性チェック、保護状態のモニタリングといった機能で保護していくことで、IoT時代の新しいセキュリティスタンダードを確立していくべきだ」と呼びかけ、対談を締めくくった。

【発表資料】いまさら聞けない!ダークネット観測とIoTサイバーセキュリティ対策のあれこれ.pdf





執筆者

高橋睦美
一橋大学社会学部卒。1995年、ソフトバンク(株)出版事業部(現:SBクリエイティブ)に入社。以来インターネット/ネットワーク関連誌にて、ファイアウォールやVPN、PKI関連解説記事の編集を担当。2001年にソフトバンク・ジーディーネット株式会社(現:アイティメディア)に転籍し、ITmediaエンタープライズ、@ITといったオンライン媒体で10年以上に渡りセキュリティ関連記事の取材、執筆ならびに編集に従事。2014年8月に退職しフリーランスに。