] 「サイバー攻撃対策って自宅でも必要なのですか?」専門家に率直な疑問をぶつけてみた(その2)。 | SECURIE(セキュリエ)-BEST SECURITY FOR EVERYONE-

事例Use case

「サイバー攻撃対策って自宅でも必要なのですか?」
専門家に率直な疑問をぶつけてみた(その2)。

2018.10.23

IoT機器を介して自宅のネットワークに犯罪者が入り込む可能性があることを、前回の記事で教わりました。引き続き、山本さんにサイバー攻撃の現状や対策について伺いました。

case_20181023_2.jpg
山本和輝
BBソフトサービス株式会社 セキュリティエバンジェリスト
フィッシング対策協議会 運営委員
一般社団法人セキュリティ対策推進協議会 理事

――前回のお話をうかがって、犯罪者が無防備なIoT機器を介して自宅のネットワークに侵入。そこを拠点に、外部へのサイバー攻撃が実施されることがわかりました。でも、確かに自宅のネットワークに侵入されるのは気持ちが悪いですが、私たちが直接ダメージ受けるような実害はないのですよね?

いえいえ、そんなことはありません。昨年観測されたウイルスの中には、大切なIoT機器を破壊してしまうものもありました。最悪、そこまで至らなくても、ご自宅のネットワークを介して外部に攻撃をすれば、ルーターの処理能力が著しく低下して動かなくなることも...。テレビやハードディスクレコーダーの調子が悪いけれど、まったく原因がわからない...なんてこともあり得ます。

さらに今後は、フィッシングやID/パスワードの盗難が可能になるウイルスやランサムウェアなどが、IoT機器を経由して皆さんのパソコンに仕込まれる可能性だって大いにあり得ます。

――こんなに恐ろしい脅威なのに、私たちはぜんぜん認識していない...。どうしてなのでしょう?

まだ、顕在化した被害がそれほど多く発生していないからでしょう。一応、TVのニュースなどで放映されていますが、皆さんがまだ、"自分ごと"にできていないから、そういった報道にも興味を示さない。

最近、表面化した例でいえば、町中に設置されている監視カメラの問題ですね。けっこう報道番組でも取り上げられていました。リモートでカメラが悪用されたり、画像が流出したりというニュースはまだ記憶に新しいですね。

今年の3月にも、大量の自宅用ルーターがIoTウイルスの攻撃にあって接続障害を起こしたという報道がありました。犯罪者がルーターの中のDNSという接続情報を改ざんして、スマートフォンからのインターネットを閲覧しようとした時、怪しいアプリをインストールさせるサイトに誘導するという事件が発生しました。このように狙いやすい脆弱性が発見されれば、その機器はあっという間に犯罪ツールに早変わりする可能性があるということです。

海外に目を向ければ、まだまだ事例はありますよ。2016年にはIoT機器を狙う「mirai」というIoTウイルスが話題になりました。アメリカのDNSサービスが攻撃され、主要なSNSや音楽配信サービスが使用不能になりました。その後、「mirai」の作者がそのソースコードを公開。先ほど紹介した日本の事故もそのウイルスが原型となっているといわれています。

miraiは、IoT機器メンテナンス用の通信プロトコルである「Telnet(テルネット)」という仕組みを利用して侵入します。この規格は30年以上前からある古いもので、非常に便利ではあるのですが、簡単なID、パスワードに設定されたままの機器が非常に多く簡単に破られてしまうのです。いまでも、ビルの設備、ネットワーク機器など建物に組み込むと直接機器を触れない機器のメンテには、よく使われているといいます。攻撃者は、そのような守りの緩い無数のネット接続機器を束ねて、誰にも気づかれず自分の配下で利用しようとしたんですね。なので、テルネットの裏口から侵入して遠隔地から家電をコントロールされる可能性もあるのです。エアコンを勝手に操作されたら、たまったものではありません。熱帯夜に暖房を入れられたり、冬に寝室を冷房最強にされたりしたら、場合によっては命を落とすことだってあり得ます。

また照明を勝手につけたり、オーディオを爆音で再生したり、そんなことが目の前で起こったら、安心して自宅で暮らすこともできなくなってしまいます。家の中というのは逃げ場がありませから、誰かが、いつ何をしてくるかわからないという恐怖におののきながら生活を続けるのは難しいでしょう。

――犯罪者の目的って?なぜ、そんな嫌がらせをするのでしょう。

犯罪者の目的は様々あります。ひとつは、個人的な欲望、他人の秘密を覗きたい、性的な関心などで行動する人たちです。それは常識的な感覚では、想像しえないような行動をする人が世の中には一定の割合で存在し、盗聴や覗き、住居侵入、ストーカーや殺人などに発展するケースがあるのはご存知でしょう。そのような人たちが家の機器を勝手に操作できてしまうと、非常に怖いですよね。

しかし、現在のサイバー攻撃の多くは、お金のためにしていると考えるのが妥当でしょう。そういった観点では、ワンクリック詐欺や不当請求のようなものは、犯罪者にとって手軽でおいしい商売のようです。

しかし、アダルト動画サイトからの請求という手口は、有名になりすぎたので、さすがに最近は減少してきましたね。でも、スマホすら使っていない年配の方のテレビに、突然高額な料金請求が表示され、法的な手段を取りますと書いてあったらどうなります?真面目な年配者ほど、表示されるサービス窓口に電話して、犯罪者に言葉巧みに言いくるめられ、個人情報や金銭を引き出されてしまうのではないでしょうか。

去年と今年にかけて急増しているフィッシング詐欺も、儲かる商売のようです。IoT機器に少しだけ細工して、入力画面を表示させたら、予備知識の無い方は入力してしまいますよね。アカウント情報を盗まれたことすら気づきません。どんどん手口が巧妙になって一見して偽物だとわからなくなっているからです。結果、あの手この手で入手したIDとパスワードのセットは高値で取引されるのですよ。AppleIDなどは1件1,500円くらいで売れると言われています。犯罪行為でも人に接することが無いため、罪悪感を感じにくく、犯罪のプロだけではなく、小遣い稼ぎ目的でやってしまう若者も増えています。

結局、家の電化製品全部がネットにつながってしまうと、とても管理しきれないのですよ。買った時期や保証書の在り処すらうろおぼえでしょう?ましてや全部の機器のIDとパスワード、脆弱性のアップデートをするなんてとてもできるものじゃありません。イマドキの学生さんでも50~60のアカウントを普通に持っているほどですし。

例えば、インターネットにつなげて管理ができる体重計の初期設定で一度、IDとパスワードを入力したら、それを定期的に変更する人はあまり多くはないでしょう。侵入してきた犯罪者が、もし体重計との通信から情報を抜き取れたとしましょう。そのID、パスワードを他のサービスやショッピングサイト、AppleIDなどと共用してたらどうなりますか?利用する機器の間口が広ければ広いほど、犯罪者に対して付け入るスキを与えてしまいます。

とにかく、もうサイバー攻撃という犯罪行為は、決して遠い場所で起こっている問題ではなく、家庭の機器が簡単に標的になるということはもう避けようの無い事実で、たまたまお金にならないから、効率的に稼ぐツールができていないから、被害にあっていないだけなんですよ。非常に身近なところまで迫ってきているんです。

――理解はしましたが、一体、どのように身を守れば良いのでしょうか?

そもそも安価なIoT機器の場合には、IDやパスワードが初期設定で非常に簡単なものになっているものが多いです。中には変更ができないものもあります。メーカーも脆弱性が見つかってもアップデートを提供しないところもあります。コストがかさみますからね。まず、購入時に認証の仕組みや預ける個人データ、アップデートを頻繁に行なっているメーカーの製品かどうかなど、調べるのが良いかもしれません。一つひとつの機器を調べて対策していくのが困難なら、ネットワーク全体を根元のところから監視保護するセキュリティが必要なのではという話になります。

私たちが「SECURIE」を扱うのは、そういった理由があるからに他なりません。この先々にも起こりうる可能性を予測し、そして啓発していくことで、できるだけ起こりうるリスク、ネット犯罪被害を減らしたいと考えています。

結局、ネットワークにぶら下がっているIoT機器を全部、自らが能動的にチェックしに行くのは難しいですよね。この「SECURIE」を設置すれば、脆弱なパスワードやファームウエアのアップデートの有無をチェックしてスマホで一覧監視が可能になります。ウイルスや不審な侵入行為も自動検知し、目に見えない攻撃をブロックしてくれます。家庭用の機器としてはかなり性能が高いと思います。

とにかく、まずはご家庭にあるすべてのIoT機器は危機にさらされている可能性が高いと漠然とでも良いですから、ご認識していただきたいと思います。時には関連する情報を収集したり、報道を気にしたりしながら、もしもIDやパスワードが盗まれたら、家の電化製品がおかしな挙動をしたらどうすれば良いか?考える機会を持つのは非常に重要なアクションであると考えます。

人によっては、データを盗まれても平気という方がいたりもしますが、自分だけの問題ではなく、家族や知人にも悪影響を及ぼす可能性があることを認識してもらえたらと思います。

ネットワーク上には、お金絡みや家族、プライバシーなど、大切な情報がたくさん格納されています。守るべきものはなにか?自分でどこまで守れるか?大切な家族の情報が盗まれて、犯罪に巻き込まれ、命の危険にさらされたりしたら、それこそいくら後悔しても後悔しきれないことでしょう。

取り返しのつかないことが起きる前にできる準備は間違いなくあります。もちろんセキュリティは絶対なものではありませんが、それぞれにとって大切なものを守るという意識が大きな力になることは間違いありません。



インタビュアー

伊藤 秋廣(いとうあきひろ)
インタビューを主体としたライティングプロダクション「エーアイプロダクション」を運営。ビジネスマンから著名人まで、分野を問わず、年間500名、100社以上の取材を実施し続けるプロ・インタビュアーです。