IoTがサイバー攻撃者に狙われる理由
感染機器は数十万台以上?
December 11, 2017 08:00 https://the01.jp/p0006227/by 牧野武文
(横浜国立大学大学院環境情報研究院/先端科学高等研究院、吉岡克成准教授。IoT機器セキュリティの分野で、多くの公的機関、企業と連携をして研究を進めている。)
生活や業務のシーンに広く使われるようになったIoT機器。IPカメラ、IPプリンター、スマートウォッチなどはすでに当たり前のように使われるようになった。「1人1台」のPCやスマートフォンと比べると「1人複数台」のIoT機器は、爆発的に台数を増やしている。一方で、IoT機器に対するセキュリティ意識は低いまま、あるいは無関心のままの状態が続いている。このままでは、インターネット全体の大きな脆弱性にもなりかねない。
IoT機器のセキュリティの現状はどうなっているのだろうか。さらに、どのような対策をすべきなのだろうか。本連載では、IoTのセキュリティについて最新の事例を交えながら明らかにしていきたい。第1回では、IoTセキュリティ研究者の第一人者である、横浜国立大学大学院環境情報研究院・先端科学高等研究院の吉岡克成准教授に話を聞いた。
急増するIoT機器、無関心なままのセキュリティ意識
IoT機器が生活の中に激流のように入り込み始めている。赤ちゃんやペットを監視するIPカメラ、防犯用のDVR(デジタルビデレコーダー)、ネットアクセスするためのルーター。さらにはIPプリンター、スマートウォッチ、スマートテレビ。さらには体重計、エアコン、ビデオレコーダー、照明といったネット対応家電。
いずれも便利な機器であり、安価であり、設置も簡単であるところから、利用する人が急増している。スマートフォンと連動をする製品が多く、専門知識がない人でも気軽に使いこなせるようになった。これは、ある意味素晴らしいことなのだが、反面、セキュリティに関する意識は低い、というより無関心であることが多い。
これは、一軒家の道路の面した壁に勝手口を増設したが、鍵をつけていないというのと同じ状態。キッチンが覗かれたり、食材が盗まれるだけでなく、勝手口経由で家の内部まで侵入されてしまうという極めて危険な状態になっているのだが、IoT機器を利用する人の多くが、その危険性を意識しないまま使っている。
ハニーポットから推計される感染機器「数十万台以上」
実際、すでにIoT機器に対する攻撃も急増していて、被害も起きている。IPカメラでは外部から映像を見る、制御するということが行われ、Insecamなどのサイトでは、外部からアクセスできるIPカメラの映像が生中継されている。さらに、IPカメラ、ルーターなどにマルウェアを感染させ、ボットネット化し、DDoS攻撃に利用されたMiraiの事件も問題になっている。
「IPカメラ、ルーター、DVR(防犯カメラの映像を記録するレコーダ)の3つは、全世界で膨大な数の機器がマルウェア感染しているということははっきりとしています。少なくとも数十万台のオーダーに達していると推計しています」(吉岡准教授 以下同じ)。
ただし、問題は、現在、世界全体でどのくらいの数のIoT機器が使われているかという統計が存在しないことだ。「数十万台の感染」の分母がはっきりしないため、これが深刻な状況なのか、それとも軽微な被害なのかの評価が難しい。
この「数十万台」という推計は、吉岡准教授が運営しているハニーポットの統計を基に推計されている。
ハニーポットとは「蜜の壺」のことで、不正アクセスを検知する囮、罠のことだ。マルウェアに感染をした機器が感染を広げようとする攻撃を検知することで、世界でどの程度の機器がマルウェア感染をし、感染を広げようと活動をしているかが推計できる。
ただし弱点もある。「感染はしていても潜伏をしていて活動を行なっていない場合は、検知ができません。検知ができるのは、悪さをしようとしているマルウェアからのアクセスだけなのです」。なので、マルウェア感染をし、さらに感染を広げようと活動しているIoT機器の数が「数十万台」であり、実際にマルウェア感染をしているIoT機器の数は、これより多くなる可能性がある。
出荷時設定のままの管理者パスワード
IoT機器は、どのようにして侵入されてしまうのか。よく知られるのが出荷時設定パスワードを使った管理画面からの侵入だ。IoT機器の多くは操作画面を持っていないため、PCなどから管理用のサービスにアクセスをして、機器の設定や管理を行う。この管理用アカウントとパスワードは出荷時には「admin、password」のようなものに設定されていることが多く、そのまま使ってしまうケースがある。特に家庭用のIoT機器の場合、そういう管理用のアカウントが存在することすら知らずに使っている人もいるだろう。
このような出荷時設定のアカウントは、取扱説明書に明記されていることが多く、公開情報に等しい。取扱説明書には、必ず出荷時設定のアカウントを変更することと記載されているはずだが、それを行う人は少ない。これを利用して、管理画面に侵入をされ、設定を換えられたり、あるいはマルウェアを送り込まれたりすることになる。
メーカーも知らないバックドアの存在
吉岡准教授は、このような脆弱性の他にも「メーカーの開発者すら気づかないバックドア」が存在することがあると指摘する。
IoT機器の多くは、組み込み用Linuxなどを利用して開発することが多い。そのLinuxにリモートログイン機能があり、それを開発者が知らずにそのまま製品化してしまうというケースもある。
また、リファレンスモデルを利用するときにもこのようなバックドアが残ってしまうことがある。リファレンスモデルとは、あるメーカーが製品を開発し、契約した他メーカーはその製品とほぼ同じものを製造、販売するというもの。短時間で、特定の製品を一気に市場に供給することができる。契約メーカーは、そのリファレンスモデルを独自に改良し、独自色を出していくことになる。この場合も、元々のモデルにリモートログイン機能が残されていた場合、契約メーカーはそれに気がつかず、リモートログイン機能を残したまま、製品を市場に提供してしまう可能性がある。
このような出荷時設定のアカウントは、取扱説明書に明記されていることが多く、公開情報に等しい。取扱説明書には、必ず出荷時設定のアカウントを変更することと記載されているはずだが、それを行う人は少ない。これを利用して、管理画面に侵入をされ、設定を換えられたり、あるいはマルウェアを送り込まれたりすることになる。
メーカーも知らないバックドアの存在
吉岡准教授は、このような脆弱性の他にも「メーカーの開発者すら気づかないバックドア」が存在することがあると指摘する。
IoT機器の多くは、組み込み用Linuxなどを利用して開発することが多い。そのLinuxにリモートログイン機能があり、それを開発者が知らずにそのまま製品化してしまうというケースもある。
また、リファレンスモデルを利用するときにもこのようなバックドアが残ってしまうことがある。リファレンスモデルとは、あるメーカーが製品を開発し、契約した他メーカーはその製品とほぼ同じものを製造、販売するというもの。短時間で、特定の製品を一気に市場に供給することができる。契約メーカーは、そのリファレンスモデルを独自に改良し、独自色を出していくことになる。この場合も、元々のモデルにリモートログイン機能が残されていた場合、契約メーカーはそれに気がつかず、リモートログイン機能を残したまま、製品を市場に提供してしまう可能性がある。
あるIOT攻撃の構造
【IOTの脆弱性】ネットに勝手に防犯カメラの映像が… セキュリティーの緩さでハッカーの餌食に?
2017.12.9 07:00AERA https://dot.asahi.com/aera/2017120700052.html?page=1
女性記者がハッカーに狙われない生活に挑戦するため、「ハッキングフリー24時間」と題して丸1日アナログ生活に挑戦した。今どきサイバー攻撃は、一般家庭のIoT機器などを乗っ取り、世界中の何万という電子機器を子分にしておこなわれるものが多い。セキュリティーの緩い防犯カメラの映像が勝手に公開されているサイトでは、日本からの映像が1千本以上も掲載されているという。
毎年、専門家らの投票によって決める「情報セキュリティ10大脅威」を発表している情報処理推進機構(IPA)によると、今年注目の「脅威」のひとつが、IoT関連だという。
IoTとはネットにつながった電子機器のことで、いま大売り出し中のスマートスピーカーとか、鍵がなくともスマホで開閉可能なスマートロックとか、「スマート何とか」と名がつくものは、大抵これと思っていい。
ちなみに新しいモノ好きの自分の家こそ、結構な“IoT屋敷”だが、この手の家庭用IoT機器はまだまだ「普及した」とは言えない。一方、普及率の高い防犯カメラや見守りカメラ、またそれを録画するレコーダーなど無数のIoT機器が、ユーザーが初期パスワードの変更を怠ったために、ハッカーに乗っ取られ、著名サイトを攻撃、アクセス不能にする事件も起こっている。IPAの研究員、辻宏郷さんは言う。
「IoT機器の中には製造コストを抑えて、ネットにアクセスするためのパスワードが設定できない機種もあるほど。パソコンやスマホなどと比べ、セキュリティー設定や対策が不十分なものも多いです」
またIoT機器は被害にあっても、いつも通り動作することもあり、持ち主が気がつきにくいのがやっかいだ。街中に設置されているカメラなども、実はああ見えて、ハッカーの子分になってサイバー攻撃を仕掛けている最中かも。またパスワードが出荷時のままになっているカメラを狙って、勝手に映像を公開するサイトもあるので、注意されたし。
というわけで説明が長くなったが、「ハッキングフリー」を目指すなら、カメラに映らないのが一番。でもカメラが小型化して、かわして歩くなんて芸当も無理に決まってる。そこで妙案。帽子にメガネ、そしてマスクを着用して、アナログ変装で立ち向かうことにした。指名手配犯か、密会芸能人か。そんなイデタチだが、とりあえずカメラで映像を撮られても、顔認証で個人を特定される可能性は、ほんの少しだけ低くなったと思う。そうして区立図書館へ向かったが、図書館よ、お前もか。検索用のパソコンを使わないと、本一冊、探せない。「図書目録」という言葉が思い出せず、ポケットのスマホを探すが、そうだ。家だ。
「カードが小さな引き出しに入っていて、カードで本を探せるあれ、どこですか?」
カウンターで尋ねると「かなり昔に撤去しました」とのお答え。マスク越しなので声もデカいし、質問はトンチンカン。かえって目立ってるってば。(ライター・福光恵)※AERA 2017年12月11日号より抜粋
というわけで説明が長くなったが、「ハッキングフリー」を目指すなら、カメラに映らないのが一番。でもカメラが小型化して、かわして歩くなんて芸当も無理に決まってる。そこで妙案。帽子にメガネ、そしてマスクを着用して、アナログ変装で立ち向かうことにした。指名手配犯か、密会芸能人か。そんなイデタチだが、とりあえずカメラで映像を撮られても、顔認証で個人を特定される可能性は、ほんの少しだけ低くなったと思う。そうして区立図書館へ向かったが、図書館よ、お前もか。検索用のパソコンを使わないと、本一冊、探せない。「図書目録」という言葉が思い出せず、ポケットのスマホを探すが、そうだ。家だ。
「カードが小さな引き出しに入っていて、カードで本を探せるあれ、どこですか?」
カウンターで尋ねると「かなり昔に撤去しました」とのお答え。マスク越しなので声もデカいし、質問はトンチンカン。かえって目立ってるってば。(ライター・福光恵)※AERA 2017年12月11日号より抜粋
2018年サイバー攻撃を受ける確率が高い機器は何か?
2017年12月11日
06:06 https://jp.sputniknews.com/science/201712114364260/
サイバーセキュリティ企業カスペルスキー・ラボは、人気プログラムの開発者に加え、ATMや自動車などネットに繋ぐIOT(モノのインターネット)機器へのサイバー攻撃が来年増加すると見ている。
同社によると、ハッカーらは何よりも多層構造の防御システムを持つ大企業ではなく、企業で使われる外部ソフトウェアの開発者などの仲介者を攻撃する。そのため、彼らへの攻撃は最も多くなる。
一般ユーザーについては、ルーターやウェブカメラ、冷蔵庫、コーヒーミル、車載オーディオシステムなどのIOT機器への攻撃が来年も継続すると見られる。
カスペルスキー・ラボはそれに加え、IOTの場合はユーザーのスマートフォンを感染させることで車など他の機器を操作するアプリを操るおそれがあると警告する。
カスペルスキー・ラボはそれに加え、IOTの場合はユーザーのスマートフォンを感染させることで車など他の機器を操作するアプリを操るおそれがあると警告する。
ATMやSNSでの個人情報などもターゲットだ。
《管理人ため息》やれやれ大変な時代になりましたよ。これでは、国民みんながサイバーセキュリティに意識をおく時代になったようなものです。トイレのウォシュレットの便器でさえスマホアプリでハッキングできます。個人レベルでも自分の大切な生活道具を全くアカの他人にハッキングされないように対策を考える時代になったようです。
【関連リンク】
【まとめ】IOTで社会をもっとよくするアイディア8選
【関連リンク】
【まとめ】IOTで社会をもっとよくするアイディア8選
