事例Use case

IoT機器の利用者なら必携。総論ではなく、具体的な対策項目を明示。IoTセキュリティ対策を支援する『JPCERT/CCのチェックリスト』

2019.11.13

ツイート シェア 送る はてブ

報道は減っていても攻撃が減っているわけではないという事実

のど元過ぎれば熱さを忘れてしまうのが人のサガだが、ことセキュリティに関してはそういうわけにはいかない。むしろ、世間で話題に上らなくなり、注目が薄れた時期こそ、人目を惹かずに活動できるという意味で攻撃者にとっては絶好のタイミングかもしれない。

2016年に登場した「Mirai」は、ルーターをはじめとする多数のIoT機器や組み込み機器に感染してボット化し、史上最大規模のDDoS攻撃の原因になった。このため大きな話題となり、複数のメディアで取り上げられたことを覚えている方もいるだろう。しかし最近は、IoT機器に感染するマルウェアに関する報道はやや下火のようだ。


shutterstock_329519927.jpg

だが、報道されないからといって、実際に攻撃が行われていないとは限らない。例えば警察庁のインターネット定点観測網、@Policeでは継続的に、Miraiの亜種と思われる不正プログラムが脆弱なパスワードやソフトウェアの脆弱性を付いて感染を広げようとする活動を捕捉してきた。2019年6月中旬にはストレージ製品やスマートテレビをターゲットにしたと思われるTCP 5500/60001宛のアクセス急増が観測し、注意喚起が行われている(https://www.npa.go.jp/cyberpolice/detect/pdf/20190719.pdf)。

またJPCERTコーディネーションセンター(JPCERT/CC)によれば、もっと深刻なことに、発電施設や河川管理システムといった社会インフラの管理に使われるモニタリングシステムの中にも、インターネットから直接アクセス可能な状態に置かれているものがある。その幾つかはMirai同様、脆弱なパスワードが原因となって侵入を許す状態にあった。こうした管理システムがマルウェアに感染し、次の感染先を求めてパケットを送信しているという。

このように、少しずつ形を変えながら継続的に続くIoTへの攻撃に対抗するには、別記事でも紹介したように、関係機関や通信事業者が協力し、攻撃者よりも先に脆弱な機器を見つけ出してユーザーに警告するのが1つの対策となるだろう。同時に啓蒙活動を広げ、できる限りの対策を自分自身の手で打っていくことも重要だ。

とはいえ、具体的に進めようにも「何から、どのように手をつけたら分からない」というのはサイバーセキュリティの世界ではよくある話。そこでJPCERT/CCでは、具体的な対策を支援してくれる文書「IoTセキュリティチェックリスト」を6月に公開している。

IoT機器の運用レベルで、具体的に確認すべき作業が書かれた「ガイドライン」

世の中にはさまざまなセキュリティガイドラインや標準がある。IoTの分野についても、Society 5.0の提唱などを背景に、この数年で経済産業省や総務省、あるいは業界団体がまとめたものなど、複数のガイドラインが策定されてきた。

しかしその多くは「ポリシーレベル」のもの。大まかな方針は分かるものの、実際にIoT機器の開発に携わったり、仕事で導入して運用する立場の人にとっては、「もう少し具体的なものが欲しい」というところが本音だったのではないだろうか。

しかもIoT機器を取り巻くエコシステムは広く、開発ベンダーと利用者の間に、ISPや設置事業者などさまざまな立場の人が関わってくる。複数の関係者が関わる中で、「LANの中で使われ、インターネットに直接つながれることはないだろう」「デフォルトのパスワードは変更してもらえるだろう」といった開発者の想定と、実際の利用環境に食い違いが生じ、Miraiやその亜種といったIoTマルウェアに付け入る隙を与えていた。

これに対しIoTセキュリティチェックリストは、はじめから「運用レベル」にフォーカスしたガイドラインとなることを念頭に置いて作成されている。確認すべき事柄を具体的に挙げ、PDF形式だけでなくExcel形式も用意することで、手早く手を動かして、IoT機器の基本的なセキュリティ対策がなされているかを確認できるよう構成されている。

jpcertiot_list.png

構成要素ごとにチェックすべき項目を明示し、負担を軽減する工夫も

IoTセキュリティチェックリストは「ユーザー管理」「ソフトウェア管理」「アクセス制御」といった8つの大項目に分類され、その中に「アカウントロックアウトメカニズム(複数回ログインに失敗したら、そのアカウントを一時停止する)」「パスワード強度の担保機能(弱いパスワードを設定させない)」といった39のチェック項目が並び、「開発する際の留意点」と「利用時の注意点」が示されている。それぞれ文字で説明するだけでなく、確認内容とその例を図で説明することで、具体的な理解を助ける形だ。

jpcertiot_list_kousei.pngIoT機器を利用する運用者の立場ならば、チェックリストを利用している機器のマニュアルと照らし合わせ、該当する機能があるか、ないか、もしあるなら有効にされているかを確認する。例えばリストを参照し、「パスワードセキュリティオプション」「ネットワークポートの制限」といった項目を満たす機能がないと分かれば、ベンダーに機能を確認したり、他のソリューションを活用して認証機能やアクセス制御の強化を図るべく手配を進めていけばいい。

ただ、一口にIoTといってもさまざまな種類がある。物理空間のさまざまな情報を測定する「センサー」や、IoT機器が収集した情報を元に処理を行い、ユーザーに情報を表示する「管理インターフェイス」に至るまで、IoTに関連するシステム全体を見通さなければ、どこかに弱い部分が生じる恐れがある。かといってそれら全てをチェックしていくと作業量が増え、現場の負担となるのも事実だ。

そこでIoTセキュリティチェックリストでは、NIST SP 800-183に定義されているIoTのprimitive(構成要素)に従って、IoT機器を「センサー」「アグリゲーター」などに分類し、各構成要素ごとにどの項目をチェックすべきかを明示した。

このように、開発・利用している機器の種類によってチェック項目を絞り込める他、想定する利用シーンや目的によっては、対策を実施しなくてもいい項目があり得る形とし、運用に負荷をかけすぎることなく、必要最低限の項目を確認できるよう支援する。

JPCERT/CCのセンサー網「TSUBAME」でも、Miraiおよびその亜種が送信している不審なパケットは多数観測されており、時折急上昇することもあるという。しかも、脆弱なパスワードを破ってコンソールにログインする方法からソフトウェアの脆弱性を突く方法、さらには開発・デバッグ用ツールを使う方法へと攻撃手口は移り変わっている上、「実際の攻撃では一瞬の隙を付かれてしまう」とJPCERT/CCは警告し、そうした事態を防ぐためにも、対策の第一歩としてこのIoTセキュリティチェックリストを活用してほしいとしている。

「SOHO」「小規模オフィス」向けセキュリティWi-Fi

SECURIE powered by Bitdefenderは、ご家庭や小規模オフィス向けのセキュリティWi-Fiルーターです。SOHOや中小企業において、PC、スマホ、NAS、ネットワークプリンター、ウェブカメラなどのIoT機器(Wi-Fi接続機器)を使用する際に必要となるセキュリティ対策を、簡単に行うことができます。

SECURIEを設置するだけで、「IoTセキュリティチェックリスト」の多くの項目に対応することができます。
※以下ファイルの黄色で表示した小項目が、SECURIEが対応している機能です。
20190627_IoT-SecurityCheckList_SECURIE対応機能.xlsx


SECURIE SOHO_service overview.PNGSECURIE機能一覧

■ユーザー管理
・パスワード管理/ブルートフォース攻撃からの保護機能
 特定のデバイスが一定の期間内に一定の回数のログインに失敗した場合、攻撃をブルートフォースとして検出します。
・ユーザーアクセス管理:BOX wifiへの接続許可を選択できます。
通知2_191113.PNG

■ソフトウェア管理
・ソフトウェアバージョン
Windows updateが最新のものになっていない場合通知が届きます。またデバイスにハッカーに悪用される危険性のあるセキュリティホール(脆弱性)も検出しますので、対策を取ることができます。
脆弱性レポート_191113.png

■セキュリティ管理/ウイルス対策/不正な接続
・XSS、SQLi、CSRFの脆弱性→脆弱性診断(※)で事前対策。攻撃はIDS/IPSでブロック
 ※Webインタフェースを持つIoT機器側の脆弱性を診断します。
・ポートスキャンを防御
・UPnPの許可設定:デバイスごとに設定可能

SECURIE_firewall.PNG

■暗号化
・機密データ保護機能
 クレジットカード情報やパスワードなどの機密情報が暗号化されていない通信で送信されるのをブロックします。
【参考記事】
実は身近にある驚異----HTTPSを使い、技術で情報を守れ

■通知
・Central アプリでイベントを管理
ネットワーク内に新しいデバイスが検出された場合や、攻撃を検知・ブロックしたイベントがすべてスマートフォンアプリの管理画面に表示されます。

Notification_Device.png




執筆者

高橋睦美
一橋大学社会学部卒。1995年、ソフトバンク(株)出版事業部(現:SBクリエイティブ)に入社。以来インターネット/ネットワーク関連誌にて、ファイアウォールやVPN、PKI関連解説記事の編集を担当。2001年にソフトバンク・ジーディーネット株式会社(現:アイティメディア)に転籍し、ITmediaエンタープライズ、@ITといったオンライン媒体で10年以上に渡りセキュリティ関連記事の取材、執筆ならびに編集に従事。2014年8月に退職しフリーランスに。