IoTを狙う攻撃にはどんなものがあるのか?
2月1日から3月18日は、政府が定めるサイバーセキュリティ月間。前回はIoTのインターネットへの接続について触れたが、今回は実際に起きたIoTを対象にした攻撃の例を複数紹介し、IoTセキュリティの問題について解説する。
IoTのセキュリティインシデント
情報通信研究機構(NICT)は、サイバー攻撃を可視化する攻撃トラフィックの観測・分析システム、NICTERを運用し、図1の通り、NICTERによる観測によって、2017年時点ですでにサイバーセキュリティ攻撃の半数以上がIoT機器を狙っていることを明らかにした。インターネットを行き交うTCP/IPパケットを観測して、その送信先ポートが、図に示すようにtelnetなどであることからIoTデバイスを対象とした攻撃であると識別している*。
以下、IoTを狙った攻撃がどのようなものであるか、いくつか例を挙げる。犯罪行為として実際に被害が発生した事案は少ないが、研究・解析によって、攻撃が可能であることが実証されたものを多く含む。
① デジタル複合機
PCやサーバー以外の機器がセキュリティ問題をはらんでいることが注目されたのは、日本では2013年ごろだった。2013年3月に、IPAが「デジタル複合機のセキュリティに関する調査報告書」を発表し、2013年11月には「オフィスの複合機のセキュリティが放置されている」という報道がされた。1990年代から、オフィスのプリンタは、ネットワークにつながったPCからの印刷ジョブを処理するようになっていたが、2000年代に入って、同じ機械がコピーやファックスもこなすデジタル複合機に統合され、さらにWebサーバーを内蔵して各種の設定やメンテナンスをネットワークから行えるように発展していった。まさに、機械(モノ)がネットワーク機能を備えるIoTデバイスに変貌していったといえる。
しかし、もともとがコピー機だったので、デジタル複合機がネットワークにつながるコンピュータであるという意識が低かった。実際は、ハードディスクを備えて大量の文書の印刷イメージや、ファックスやコピーのスキャンを格納しているコンピュータであり、ネットワークを通じてスキャンデータをWebブラウザから取り出すことが可能である。デジタル複合機の情報をWebブラウザからアクセスするには、ログイン操作が必要であるが、そのセキュリティを守るパスワードがデフォルトのままであることが多かった。このような機器は、オフィス内で共有されるので、個人で管理すべきパスワードを付与するのがはばかられるという心理も働いた。そのため、たとえば教育機関では学生の答案や試験問題などが、企業のオフィスでは、見積書、契約書、知財文書などが漏洩する危険性があった。IPAは、機器をファイアウォールの内側に置いてインターネットから隔離すること、パスワードを適切に設定するなどの対策を促した。
② 監視カメラ
2014年に、ロシアのinsecam.orgというWebサイトが、世界中の監視カメラをスキャンして、セキュリティが甘いカメラのURLと映像を公開した。古くからビル内の監視に使われていたカメラは専用の配線で監視所に映像を送っていたが、最近の監視カメラの多くは、TCP/IPとHTTPでの接続が可能なWebカメラとも呼ばれるタイプで、映像をPCのWebブラウザに表示することができる。これらの映像を見るためには、やはりログイン操作が必要であるが、ユーザIDやパスワードが設定されていない装置や、デフォルトのままにしてある装置が数多く見つかり、insecamはそれらを公開した。2016年には日本でも約6,000台のカメラ映像が丸見えになっていることが報道された。報道によって漏洩は減ったが、2019年時点でも日本国内では2000台以上のカメラの映像が掲載されている。
insecamが行っていることは、違法な不正アクセスではないかという批判もあるが、insecamは、パスワードを付ければ防げることをしていない側に問題があると主張している。監視カメラが向けられるのは、何かしらの異常を検知したい場所なので、コンビニの店内や、商店の受付窓口など、個人が映っていてプライバシーの侵害に当たるような映像もあるが、大半は、駐車場、道路、駅、工事現場、農場や畜舎、太陽光発電所など、見られても困らないような映像で、それどころか、多くの人が監視してくれればありがたいくらいであろう。見られても構わなければ、パスワードもデフォルトのままで良いのだろうか? 次の③にその答えがある。
③ DNS へのDoS 攻撃(Miraiマルウェア)
2016年11月の朝日新聞で、「サイバー攻撃、家庭のIoT機器悪用 ルーター販売停止」という報道があった。2016年には、IoTという用語が一般にも広がっていたことがわかるが、記事では、ユーザーがスマートフォンで撮影した写真などを友達同士でシェアするためのストレージ機能を持ったWi-Fiルーターが、他のネットワーク機器にDDoS(Distributed Denial of Service)攻撃をしかける可能性があるために製品が回収されたことを伝えている。
DoS攻撃とは、ターゲットとなるコンピュータめがけて大量のパケットを送りつけることでネットワークを飽和させ、コンピュータが行いたい正常な通信を行えなくする攻撃である。DDoS攻撃とは、DoS攻撃を多数のコンピュータから仕掛けることで威力を増した攻撃法である。①、②は、情報を盗み見られるユーザーの問題であったが、この機器で起こった問題は、製造元が責任を負うことになった。これは、大きな転換である。前記の監視カメラでは、映像を誰に見られても構わないと思う人が多かったのでセキュリティ強化がなおざりにされたが、このWi-Fiルーターは、使用者のデータの問題ではなく、他の機器への攻撃に悪用されることが大きな問題となった。そして、このDoS攻撃に荷担させられたIoT機器には、Wi-Fiルーターだけでなく、多数の監視カメラも含まれた。
こうした問題は、Miraiと呼ばれるIoT機器を対象にしたマルウェアが引き起こしていることをMalwareMustDieというマルウェア調査グループが2016年8月に発見した。Miraiは、インターネットをスキャン**して、開いたままになっているtelnetポートを見つけると、内蔵した61種類のユーザーIDとパスワードのペアを試す。運良くログインできると、いくつかのプログラムを無効化した上で、バックドアを仕掛けて攻撃者のサーバーにそのアドレスを送信する。さらにグローバルネットワーク上で同じような脆弱性をもった機器を見つけて同様の動作を繰り返し、ついには何万ものボット化されたIoTデバイスの制御権を奪取した。ボット(botnet)とは、攻撃者によってマルウェアが注入され、攻撃者の意のままに動作するように乗っ取られたコンピュータである。これらのボットは、セキュリティジャーナリストのサイトや、ゲーム「Minecraft」のサーバーにDoS攻撃を仕掛けた。そして2016年10月に起こったDyn社のDNSサーバーへの攻撃は、Twitter、NETFLIX、The Wall Street Journalなどの著名なサイトのサーバーを止めることになり、多くの人が攻撃を知ることとなった(図2)。このDNSサービスがMiraiによるDoS攻撃によって機能不全に陥ったために、上のサイトを始めとして、このDNSを利用する広範囲のサーバーがサービス不能に陥った。
MiraiによるDoS攻撃に使われるボットデバイスの性能は低いので、1つのデバイスから送出されるパケットは多くはないが、パケットを送信する機器の数が非常に多いため、結果的に数百Gbpsにも達する通信量を発生させてしまった。一つ一つの機器の通信量は、過剰に多いとまでは言えないので、異常動作と判定されて排除される可能性も低い。
Miraiマルウェアを作りばらまいた、米国、ラトガース大学の21歳の学生は、2017年に検挙され、有罪判決が下っている。この学生はしばらく前から、大学で重要なイベントがある日に、大学のサーバーにDoS攻撃をしかけ、自ら救済するサービスをビジネスにしており、自身も運営するMinecraftのゲームサーバーと競合するサイトに対しても攻撃を仕掛けていた。これらの経験を元に、強い感染力を持つマルウェアを世に放った。驚くことに、犯人は、MiraiのソースコードをGitHub(コンピュータプログラムの共同開発・配布用レポジトリ)に公開している。これは、自身が犯人と特定されることを回避するためだったと言われているが、結果的に多くの類似の攻撃およびMiraiの亜種マルウェアを生み出した。そのため、2019年に至っても、Miraiの災禍は完全には鎮火していない。Miraiの後を継いで、Hajime、Bushidoなど日本風の名前のついたマルウェアが開発され、今度はテレビ会議システムなどをターゲットにして被害を広げている。ボット化されたIoTデバイスは、0x-booterなどの秘密のWebサイトで売買されているという。PCでは、マルウェアを発見して除去する防護プログラムが機能するが、IoTデバイスにはそのような防護プログラムが入っていないことも被害が拡大した原因の一つである。
④ 車載エレクトロニクス
自動車のIT化、ネットワーク化は1990年代から積み重ねられてきており、高度なAIを活用する自動運転が間近に迫っている。自動車は、人の命を運ぶ高価な機械であるから、安全性とセキュリティへの関心が高い。現代の自動車には多数のIT機能が搭載されているので、それを狙ったサイバー攻撃が存在する。その一つが、車を盗もうとする攻撃で、有名なのはスマートキー(キーレスエントリシステム、またリモコンキーのことをkeyfobと呼ぶ)を対象にしたリレー攻撃である。
スマートキーは2種類の電波を使って実装されており、鍵がドアの近くにあることを感知してロック・アンロック動作をさせる。車体から出る長波の電波を増強して遠くにあるキーに到達させることで、あたかもキーがドアの近くにあるようにみせかけ、ロックを解除させる。自動車の鍵が簡単なしくみで開閉させられるのは驚きだが、鍵と自動車がIP接続をしているわけではないので、IoTとは呼びにくいかも知れない。
より大きな波紋を呼んだのは、Charlie Miller氏とChris Valasek氏が、ジープチェロキーを遠隔から乗っ取れることを示した発表である。クライスラー社のテレマティクスサービスであるUconnectから走行中の自動車に接続し、ワイパーやホーンだけでなく、アクセルやブレーキまでを動作させられることを実証した。車載器の6667ポートが開いており、パスワードも設定されていなかったために侵入を許した。2016年には、車載のデバッグポートであるOBD-2ポートからステアリングを操作できることも実証したため、クライスラー社は、クラッキング対策のために140万台の車両のリコールを余儀なくされた。
⑤ その他のIoT機器
自動照準機能を備えたスマートライフルが、クラッキングによって意図しない対象に照準を合わせて引き金を引いてしまうかもしれない危険性が指摘されている。また、航空機のネットワークから入って、舵が制御できるとの報道もある。さらに、IoTデバイスに使われているセンサーが、物理的な攻撃に対して脆弱であるとの指摘がある。たとえば、ドローンなどに搭載される加速度・ジャイロセンサーは、強い音響信号で共振し、誤動作することが知られている。同様の攻撃は、ハードディスクに対しても可能である。
このように見ると、IoTのセキュリティ問題は、デジタル複合機、監視カメラ、テレビ会議システム、車載器などのパスワードの窃取、あるいはセンサーなどハードウェアの物理的な脆弱性に起因していることがわかる。パスワードについて、固有のパスワードを設定すべきだとする指摘はその通りだが、これらの機器は個人で使用するものではないので、パスワードという個人の記憶に頼った安全装置は働きにくい。たとえば、デジタル複合機はオフィス内で共有するモノであり、管理する部署はあっても担当者は毎年のように代わる。毎日ログインして使うものでもないので、パスワードを覚えられない。忘れた場合は大変なことになるので、紙に書いて引き継ぐのだろうか。保守のためのサービスマンにパスワードを教えるわけにもいかないし、サービスマンは、実は全機種に共通のスーパーパスワードを知っているかも知れない。このように、パスワードは個人が頻繁に使うPCやスマートフォンでは有効だが、ログインする機会の少ない、人とコミュニケーションしない組込み機器には使いにくい仕組みである。
パスワードでログインする仕組みを備えているIoTデバイスは、おそらくLinuxをベースにして組み立てられている。Linuxはかなりのリソースを消費するOSなので、IoTデバイスの中では高級な部類に属する。Linuxのパスワード問題というのは、従来のIT界でも取り扱われてきた問題であるが、個人の記憶に頼りにくいパスワード、あるいは機械に埋め込まれたパスワードをどのように扱うかは、IoTセキュリティの問題である。
一方、世の中には、Linuxを使わないもっと簡単なIoTデバイスが大量に存在する。それらは、パスワードとは異なるセキュリティの問題、たとえばセンサー情報の信頼性をいかに保護するか、ハードウェアのリバースエンジニアリングによる侵入をいかに防ぐかなどの問題を対策する必要がある。
*宛先ポート番号のユニーク数が30以上のトラフィックは、調査目的のスキャンとして除
外している。
**インターネットにつながる機器は、32ビットのIPアドレスと16ビットのポート番号を持つ。インターネットのサイバー攻撃は、このすべての組み合わせを試して、接続を受け入れるIPアドレスとポートを見つけることから始まる。これをネットワークスキャンあるいはポートスキャンと呼ぶ。
(「IoTセキュリティ技術入門」より抜粋)
書籍紹介
IoTが広く社会に浸透した結果、セキュリティの問題が生まれた。現在発生しているサイバー攻撃のうち、半数以上はIoTデバイスを狙ったものであることから、その深刻さが伺える。本書では、製品、工場、自動車分野など様々に使われるIoTのセキュリティ技術について解説する。
書名:IoTセキュリティ技術入門
著者名:松井俊浩
判型:A5判
総頁数:184頁
税込み価格:2,200円