広がるIoT経由のサイバー攻撃

サイバー攻撃と聞くと、どのようなイメージを持たれるでしょうか？世間一般の方々がサイバー攻撃と聞くと、テレビやネットのニュースでよく報道されるWebサイトへの攻撃による顧客情報の漏洩や、最近ではスマートフォンの決済システムへの不正アクセスによる被害がイメージとして思い浮かぶと思います。

近年では、これらの他に家庭や会社、工場など多岐にわたる場所で利用が広がってきているIoT機器にもサイバー攻撃が仕掛けられる事例が発生しています。

どのような攻撃が実際に起こっているのか？

大々的にニュースでも取り扱われ、注目を浴びた過去の事例では2016年に登場したIoT機器向けマルウェア(※1)「Mirai」に感染したIoT機器（約10万台）から特定のネットサービスに対してDDoS攻撃(Distributed Denial of Service attack)が行われた件が挙げられます。DDoS攻撃とは、複数のIPアドレスから同時に大量のデータを送り付け、ネットサービスを利用できない状態にする悪意あるサイバー攻撃です。その結果、TwitterやNetflixなど有名な企業が提供するWebサービスが利用不能となる事件が発生しています。(※2)この「Mirai」というマルウェアはどのようにIoT機器に感染したのでしょうか？

その手口は企業内のネットワークではなく、インターネット上からアクセスできるIoT機器をターゲットとしていることが特徴です。よく利用されるIoT機器の初期ログインID・パスワードや、安易に設定されたID・パスワードの一覧を集めたリストを用いてシステムへの侵入を試みます。この攻撃で侵入されたIoT機器がマルウェアに感染し、感染後は図1のように、遠隔操作の指令を行うサーバからの命令を受け、指定されたサービスへ攻撃を実施していました。

図1：IoT機器を対象にしたマルウェアの攻撃例

最初はLinuxと呼ばれるOSが搭載されたIoT機器のみを対象としていた「Mirai」ですが、初期のものから動作や攻撃対象・内容が変更された亜種と呼ばれる別のマルウェアも登場し、下記のようなケースが発生しています。

【攻撃】

• IoT機器以外にもインターネット接続に利用するブロードバンドルータの特定機種に対して公開された脆弱性を悪用し、感染を試みる攻撃をしかけるもの
• 近年公開されたIoT機器の初期ログインID・パスワードが加えられ、オリジナルより攻撃対象を拡大したもの
• 特定のセキュリティパッチが当たっていない機器の脆弱性を突いた攻撃・侵入の実行

【被害】

• IoTカメラなど映像を録画・配信できる機器に侵入し、自宅や会社の様子を無断で公開
• 感染した機器を経由で別の機器・システムへ攻撃・侵入（攻撃の踏み台とされる）
• 単純に感染した機器が利用できないようにIoT機器のハードウェアを破壊

進むIoT製品のセキュリティ対策と対応

IoTの広がりにより、生活や仕事が便利となる一方で、上記で紹介したようにIoT機器経由のリスクが高まっています。これを放置すると個人情報の漏洩や業務の機密漏洩なども発生する恐れがあります。

当然ながら、IoT機器に対してのセキュリティ対策も進められていますが、安価に入手できる製品の中にはまだセキュリティ対策が不十分な製品も存在し、IoT機器を利用する側も設置して終わりではなく、それらの機器のセキュリティが十分であるかチェックや定期的な管理が必要です。

例えば、IoTカメラを利用する場合、以下のような対策があります。

1. IoT機器の初期ID・パスワードからの変更
2. 必要のないIoT機器のインターネットへの直接接続の防止（社内ネットワークのみで利用）
3. IoT機器に組み込まれたセキュリティ設定を実施
4. IoT機器のソフトウェア（ファームウェア）の更新機能の利用
5. 不審な動きをしていないか、定期的なチェックの実施

IoT機器のチェックに利用できる有用な資料がIPA（独立行政法人情報処理推進機構）で公開されており、企業の中でIoT機器を利用するうえでセキュリティ検討の参考資料として利用できるようになっています。
他にも、国からの取り組みとして、総務省によるNOTICEと呼ばれるサイバー攻撃に利用される恐れのあるIoT機器の調査、および利用者への注意喚起を行う取り組みが2019年2月より実施されています。また、前述のIoT機器がマルウェアに感染されたケースに対しての取り組みとして、2019年6月よりマルウェアに感染しているIoT機器の利用者に対して、契約しているインターネットプロバイダ経由で注意喚起を行う活動が開始されています。その結果、IoT機器の利用者や企業のシステム管理者がサイバー攻撃に気づきやすくなる効果が出ています。(※3)

私たちの生活や企業内の業務を便利にできるIoT製品ですが、今回紹介したようにIoT機器向けのマルウェアも存在しており、攻撃も多彩になってきています。そのため、パソコンと同様に定期的なソフトウェアの更新やチェックを行なわないと、大切な情報の盗難や、マルウェアからの攻撃の道具として利用されるといった恐れがあります。そのため、これから便利に活用するためにもIoT製品のセキュリティに意識を向け、提供されている情報を参考としつつ、自分たちが行えるセキュリティ対策について考えていく必要があるでしょう。

※1：マルウェア(Malware) ： 不正かつ有害な動作を行う意図で作成された悪意のあるソフトウェアや悪質なコードの総称で、ウィルスやワーム、トロイの木馬、スパイウェアなどが含まれる
※2:総務省 国民のための情報セキュリティサイト
https://www.ipa.go.jp/files/000065095.pdf
※3：NOTICE活動の報告
http://www.soumu.go.jp/menu_news/s-news/01cyber01_02000001_00033.html

2019年9月