「忘れ去られた機器」をどうするかーーIoT機器、これからの課題とは(その1)
この数年、主にルーターなどの組み込み機器を狙って感染し、踏み台として第三者にサービス妨害(DDoS)攻撃を行う「Mirai」をはじめ、Internet of Things(IoT)機器を対象としたサイバー脅威の話題が盛んに取り上げられるようになった。果たして最新の状況はどうなのか、また根本的な原因はどこにあるのかーー長年に渡ってこれらの脅威の観測・研究に携わり、2017年6月からBBソフトサービスと共同研究に携わる横浜国立大学の吉岡克成准教授に尋ねた。
吉岡 克成 (よしおか かつなり)准教授
Q:実際のところ、IoTを対象としたサイバー脅威は、Miraiなどが話題になる前から存在していたのでしょうか?
吉岡准教授(以下吉岡):2016年ごろにMiraiが非常に流行って、単に感染するだけでなく、それを踏み台にしてDDoSという「Webサイトにアクセスできなくなる」という誰にでも攻撃の威力が分かる攻撃を行ったことで、専門家以外の人にもIoTを狙う脅威が知られるようになりました。けれど兆候は以前からありました。われわれが観測を始めたのはその1年ほど前からですが、その時点でも、一部の研究者の間では「異常だ」という事態が認識されていました。
Q:サイバー脅威は、なぜこうしたIoT機器をターゲットにするようになったのでしょうか。
吉岡:根本的な理由は、こうした機器はセキュリティが弱いからです。弱いというより、ほぼ「ノーセキュリティ」のような状態の機器がたくさんあることが原因です。一部の攻撃者が「これを悪用すれば沢山の機器を乗っ取れるのではないか」と薄々気付いていたところにMiraiが登場し、「やっぱりできるんだ」と分かってしまいました。しかも、ただ乗っ取るだけでなく、それらを悪用し、以前に比べ倍以上の威力のある攻撃ができてしまうこともMiraiが実証してしまいました。ほとんどコストをかけずに強力な攻撃ができるところに魅力を感じる攻撃者がたくさんいるのではないでしょうか。
Q:いまやPCに代わって、IoTが攻撃者にとってうってつけの手段というわけですね。
吉岡:一口に攻撃者といってもいろいろなタイプがあり、国の支援を受けて高度な攻撃を行うものから、経済的な観点から対価を得ようとするものもあります。攻撃の頻度が高く観測がし易いのは後者のタイプで、彼らは易しいところ、攻めやすいところから攻めてきます。確かに過去はPCが攻撃の対象でしたが、マイクロソフトが対策を進めることで、かつてのように「つながるだけで感染する」ような状況ではなくなってきました。PCは手の込んだ攻撃をしないと乗っ取ることができず、コストがかかります。それに対しIoT機器はほとんど何のコストもなく簡単に乗っ取れるので、流行り始めたというわけです。
Q:IoT機器の場合、ウイルス対策ソフトを簡単に導入できるわけでもなく、対策が難しそうです。
吉岡:組み込み機器は用途を限定する形で開発されており、PCに比べ、汎用的な対策ソフトの導入が難しいのも事実です。ですがそれ以上に、そもそも「メンテナンスの対象」だと思われていないことが問題です。PCならば更新や対策ソフトの導入が必要という意識がありますが、まさかこうした機器がサイバー攻撃を受けるとか、更新が必要だとは気付かない人が多いように思います。忘れ去られたまま、攻撃を受けても気付かずやられ続けている機器が多くあるのではないでしょうか。
Q:その意味でも2016年はやはり転機だったのでしょうか。
吉岡:私はよく「2016年はパンドラの箱が開いた年だ」と表現しています。もう、前の状況には戻れないんです。IoT機器に攻撃すれば乗っ取れるし、数多く乗っ取れば意味のある強力な攻撃ができるということを、皆が分かってしまいました。
Q:後戻りはできない状況なのですね。
吉岡:やっかいなのは、PCの場合はマイクロソフトなど特定のベンダーが頑張れば改善の余地があったのに対し、組み込み機器というものは単一のメーカーが作っているものではなく、全社が同じようにセキュリティ対策できるかというと難しいことです。また作っている側も、自分たちの機器がどこでどのように使われているか、更新されているか把握できていないことが多いのです。例えばルーターにしても、キャリアから借りていてリモートからある程度設定・管理されているものもあれば、ユーザーが量販店で購入して自力で設置しているものもあります。メーカーもキャリアも機器がどこでどう使われているか分からず、誰にも顧みられず更新されない機器も多くあります。
Q:メーカー側も問題は認識しているものの、対策が難しいということでしょうか。
吉岡:ルーターのメーカーとは定期的に意見交換を行っています。彼らも対策の重要性は認識しているのですが、現状把握すら難しいのが実情です。そもそもルーターって、壊れなければ特に買い替えたりしませんよね。このため、5年前、10年前の古い機器が使い続けられていることもあります。忘れ去られたかのようにどこかで動き続けている機器がけっこうあるようです。メーカーとしては、サポート期限をどうするかも考えていかなければいけません。その辺り日本のメーカーは律儀で、ずいぶん昔に販売された機器でも攻撃が報じられるとパッチを作って提供していますが、いつまでその対応を続けるのかも課題です。
Q:では、通信事業者やキャリアに期待することはできませんか?
吉岡:こちらもいくつか注意すべき点があり、一筋縄ではいきません。例えば、マルウェア感染機器や脆弱な機器のユーザーに注意喚起を行うにしても、適切に実施しなければ通信の秘密を侵してしまう恐れがあります。一方で、実際に存在する脅威を前に何の対策を講じないのも得策とはいえません。そのため、今、総務省において、これを適切に行う方法の検討が行われています。
Q:これで問題は解消に向かうでしょうか。
吉岡:通信の秘密に関する課題が解決できたとしても、それだけで完全には対応できないケースもあるでしょう。感染機器を全て特定できる訳ではなく検知漏れもありますし、そもそも感染機器を保有しているエンドユーザーを特定できても、技術的知識やモチベーションの面で対策が進むかは疑問です。「お宅の機器のうち何かがやられています、何とかしてください」と言われても、ユーザーにはなかなか分からないと思います。
Q:いっそ、強制的に感染端末からマルウェアを削除して更新してしまうというのはどうでしょうか。
吉岡:実は、それに近いことをやっていたといわれているマルウェアもあります。Mirai等のマルウェアを削除し、侵入される入り口を塞ぐ機能をもつWifatchやHajimeといったマルウェアです。けれど、とても合法的なやり方とは言えません。やっていることは攻撃と同じで、完全に不正侵入していますから。
インタビュアー
高橋睦美一橋大学社会学部卒。1995年、ソフトバンク(株)出版事業部(現:SBクリエイティブ)に入社。以来インターネット/ネットワーク関連誌にて、ファイアウォールやVPN、PKI関連解説記事の編集を担当。2001年にソフトバンク・ジーディーネット株式会社(現:アイティメディア)に転籍し、ITmediaエンタープライズ、@ITといったオンライン媒体で10年以上に渡りセキュリティ関連記事の取材、執筆ならびに編集に従事。2014年8月に退職しフリーランスに。