] 把握してる?あなたの家の「デバイス」たち----忘れられたものたちが狙われる | SECURIE(セキュリエ)-BEST SECURITY FOR EVERYONE-

事例Use case

把握してる?あなたの家の「デバイス」たち----忘れられたものたちが狙われる

2019.4. 3

ツイート シェア 送る はてブ

政府主導の無差別侵入?! 「NOTICEプロジェクト」を正しく把握する

みなさんは「NOTICE」という取り組みをご存じでしょうか? これはインターネットにつながるデバイス、いわゆる「IoT機器」を対象にした、調査、注意喚起のプロジェクトです。総務省および情報通信研究機構(NICT)、そして皆さんが契約しているインターネットプロバイダが共同で行っているもので、2019年2月20日からスタートしました。開始当初には「政府による"無差別侵入"だ」とも表現されてしまったことで、多くの方がいぶかしげに思ったかもしれません。しかしサイバー犯罪者はIoT機器の脆弱性や、変更されていない初期パスワードを使ってあなたのデバイスに侵入しようとしており、「NOTICE」でチェックされるよりもはるかに早く攻撃がされているはず。このプロジェクトは、なかなか気が付きにくいIoT機器の課題を、あなたに代わって調査しようというものです。

NOTICE|サイバー攻撃に悪用されるおそれのあるIoT機器の調査、注意喚起を行うプロジェクト
https://notice.go.jp/

notice.PNG

引用元:https://notice.go.jp/

とはいえ、家庭においては、インターネットと家庭内の間には「ブロードバンドルーター」が存在していますので、設定を駆使してインターネット側から見えるようにしない限りは、ルーターという壁が守ってくれます。「NOTICE」の調査もルーターまでにとどまるはずですので、ルーターのアップデート、初期パスワードからの変更が行われてさえいれば、大きな影響はありません。あとは、「NOTICE」の活動を悪用し「NICTです。あなたの機器が攻撃されていることがわかったので、対処費用を請求します。」といった詐欺にだけは注意してください。万が一、注意喚起の対象になったとしても、契約したインターネットプロバイダ"以外"からの連絡は、詐欺だと思ってください。特に、パスワード等を教えろ、というフィッシングには気を付けてくださいね。


自宅内「NOTICE」してみよう----家庭内IoT機器、把握できてますか?

家庭においては、ルーターまでが調査の対象と述べましたが、これはつまり「NOTICE」では「皆さんの家庭内におけるデバイス」まではチェックが行われないということになります。実は、このポイントは大変重要。その前にまず、皆さんの家に「インターネットにつながるデバイス」がいくつあるか、把握できている自信はありますでしょうか。

180824_1.png
まず、皆さんが使うPCは把握できていて当たり前ですね。それに、毎日フル活用しているであろうスマートフォンが家族分。そこから先が、難関かもしれません。例えば、いまでは携帯ゲーム機などもインターネット利用が当たり前になっていますので、無線LANを通じてインターネットにつながっています。一時期、大変話題になり、安価に購入できたスマートスピーカーも複数台あるかもしれません。その他、テレビ番組を録画するハードディスクレコーダー、テレビそのもの、そして今はもう使わなくなった1つ前のスマートフォン、そしてスマートウォッチやWebカメラなんかもインターネットにつながっているでしょう。中には電源を入れたままだけど、すっかりどこに置いたか分からないものもあるかもしれません。

これらを把握する方法はあるのでしょうか。まずは、皆さんの家のルーターの「DHCPリース」画面をチェックするといいでしょう。これはルーターに接続する機器に対して、IPアドレスを自動的に付与した記録をリスト化して表示するものです。ただし、残念ながらルーターが表示するのは「IPアドレス」と「MACアドレス」という、機器固有の文字列でしかないので、これを実際の機器と一致させるのは困難です。

ですが、例えばBBソフトサービス社の「SECURIE(セキュリエ)」のようなセキュリティ機能が搭載されたルーターでは、「MACアドレス」からその機器がどのようなメーカーのものかを判断し、いまルーターに接続されている機器のリストを、デバイスの種類を判断して表示できます。すると、自分が想定した以上にIoTデバイスが、ネットワークにつながっていることがわかると思います。


fig02_01.png
#わが家の状況をチェック。通常のルーターならば「MACアドレス」程度しか取得できないが、「SECURIE」は各機器に付けられた名前や機器タイプを自動的に認識するので、家庭内機器の接続状況がすぐにわかる(スマートスピーカーがタブレット扱いされているが、手動で種類を変更可能。)


不要な機器は電源を落とす......のその前に

わが家でもこの作業をすると、すっかり存在を忘れていたデバイスを目の当たりにすることになり、少々驚いた記憶があります。使っていない機器は、電源をオフにしてしまえばいいのですが、できればその前にやっていただきたいことがあります。それは「アップデート」と「初期パスワードの変更」。

IoT機器への攻撃は、例えば機器の"弱点"である「脆弱性」をつき、サイバー犯罪者の支配下に置いて遠隔コントロールをしてしまう手法や、真っ正面からユーザーID、パスワードを用いてログインし、管理者として様々なコントロールを行う手法があります。これを防ぐには、脆弱性を修正し、穴をふさぐための「アップデート」を行うこと、そして誰もが知る初期パスワードを、あなたしか知らないものに変更することが重要です。

そのため、不要な機器と判断したら、まずはこの2つが行われているかを確認してからしまうのでも遅くありません。デバイスを提供するベンダーのWebサイトをみて、アップデーターが存在しないかを確認します。また、初期パスワードのままの運用であれば、これを変更しましょう。万が一、アップデーターが長い間提供されていない場合は、もしかしたら新しい機器への買い換えをするのが、一番の安全策かもしれません。


現役で活躍する機器も、脆弱性のチェックを怠らないこと

さて、これで家庭内デバイスの棚卸しができたはずです。今度は、いま現役で活躍している機器を、定期的にチェックすることが必要かもしれません。上記で述べたように、定期的なアップデートのチェック、そして初期パスワードを変更することを行っていれば、より安全な利用が可能なはずです。

しかし、いま安心できるからといって、未来永劫安全というわけではありません。日々新しいものが生まれ、攻撃に使われるコンピューターウイルスほどではありませんが、「脆弱性」は、しばしば新しいものが発見され、攻撃に使われていきます。セキュリティベンダーはそういった攻撃の兆候をいち早く検知し、保護のための手法を提供しています。それが、いわゆる「セキュリティ対策ソフト」です。

しかし、PCやスマートフォン以外の機器、例えばハードディスクレコーダーやWebカメラ、スマートスピーカーにはそういったセキュリティ対策ソフトはインストールできません。そのため、まずは自分が管理している機器に対し、そういった脆弱性が明らかになっていないかを把握する必要があります。


fig02_02.png
#「SECURIE」は、デバイスが接続された直後に、そのデバイスが安全かどうか脆弱性スキャンを実行してくれる。「SECURIE」をルーターとして利用すると、そこにつながるIoT機器などは「既知の脆弱性がない」安全な状態を維持できる


「SECURIE」のようなセキュリティ機能が搭載されたルーターでは、脆弱性のチェックを定期的に行う機能があります。万が一のときにはアラートがあがるので、そのタイミングでアップデートがないかをチェックするようにすれば、セキュリティ対策ソフトをインストールできないIoT機器も安全に運用することができます。それもこれも、すべて「家庭内のデバイスを把握できているから」可能なのです。まずは、家の中にあるデバイスを把握することからスタートしましょう。


fig02_03.png
#新規に接続されたデバイスもSECURIEのスマートフォンアプリに通知が届くので、家族が(勝手に)デバイスを追加した場合でも、家庭内システム管理者であるあなたは、そのタイミングでチェックが可能だ


把握することこそがサイバー攻撃対策の第1歩

IoT機器を狙う攻撃は、「同じ製品仕様の」「同じ"脆弱性"を持つ」「大量の機器」が対象ですので、一度攻撃に成功すると、世界各所に存在する同じ製品すべてを乗っ取ることが可能です。ひとつひとつの機器は非力かもしれませんが、数千、数万、数十万の機器からある特定のサービスに、同時にアクセスが行われてしまうと、サービス側で対処することが非常に難しいのが現状です。だからこそ、その原因である「IoT機器を安全に運用する」ことが重要なのです。

これは家庭でも一緒。IoT機器を便利に、楽しく使うためには、まずあなたの家のIoT機器を把握し、それらが正しく運用できているかをチェックすること----そんな小さな一歩が、世界のインターネットを安全にできる唯一の方法なのです。


執筆者

宮田 健(みやた たけし)
国内大手SI事業者、および外資系大手サポートにてエンジニア経験を積み、2006年にITに関する記者、編集者に転身。その後はアイティメディアのエンジニア向けメディア「@IT」編集者として、エンタープライズ系セキュリティに関連する情報を追いかける。 2012年よりフリーランスとして活動を開始し、"普通の人"にもセキュリティに興味を持ってもらえるよう、日々模索を続けている。
個人としては"広義のディズニー"を取り上げるWebサイト「dpost.jp」を運営中。公私混同をモットーにITとエンターテイメントの両方を追いかけている。 著書に「Q&Aで考えるセキュリティ入門「木曜日のフルット」と学ぼう!」(MdN)、「デジタルの作法 1億総スマホ時代のセキュリティ講座」(KADOKAWA/中経出版)がある。