連載「IoTのセキュリティリスクを考える」 #01　横浜国立大学・吉岡克成准教授（1） 感染機器は数十万台以上？　IoTがサイバー攻撃者に狙われる理由

December 11, 2017 08:00
by 牧野武文

生活や業務のシーンに広く使われるようになったIoT機器。IPカメラ、IPプリンター、スマートウォッチなどはすでに当たり前のように使われるようになった。「1人1台」のPCやスマートフォンと比べると「1人複数台」のIoT機器は、爆発的に台数を増やしている。一方で、IoT機器に対するセキュリティ意識は低いまま、あるいは無関心のままの状態が続いている。このままでは、インターネット全体の大きな脆弱性にもなりかねない。

IoT機器のセキュリティの現状はどうなっているのだろうか。さらに、どのような対策をすべきなのだろうか。本連載では、IoTのセキュリティについて最新の事例を交えながら明らかにしていきたい。第1回では、IoTセキュリティ研究者の第一人者である、横浜国立大学大学院環境情報研究院・先端科学高等研究院の吉岡克成准教授に話を聞いた。

横浜国立大学大学院環境情報研究院/先端科学高等研究院、吉岡克成准教授。IoT機器セキュリティの分野で、多くの公的機関、企業と連携をして研究を進めている。

急増するIoT機器、無関心なままのセキュリティ意識

IoT機器が生活の中に激流のように入り込み始めている。赤ちゃんやペットを監視するIPカメラ、防犯用のDVR（デジタルビデレコーダー）、ネットアクセスするためのルーター。さらにはIPプリンター、スマートウォッチ、スマートテレビ。さらには体重計、エアコン、ビデオレコーダー、照明といったネット対応家電。

いずれも便利な機器であり、安価であり、設置も簡単であるところから、利用する人が急増している。スマートフォンと連動をする製品が多く、専門知識がない人でも気軽に使いこなせるようになった。これは、ある意味素晴らしいことなのだが、反面、セキュリティに関する意識は低い、というより無関心であることが多い。

これは、一軒家の道路の面した壁に勝手口を増設したが、鍵をつけていないというのと同じ状態。キッチンが覗かれたり、食材が盗まれるだけでなく、勝手口経由で家の内部まで侵入されてしまうという極めて危険な状態になっているのだが、IoT機器を利用する人の多くが、その危険性を意識しないまま使っている。

ハニーポットから推計される感染機器「数十万台以上」

実際、すでにIoT機器に対する攻撃も急増していて、被害も起きている。IPカメラでは外部から映像を見る、制御するということが行われ、Insecamなどのサイトでは、外部からアクセスできるIPカメラの映像が生中継されている。さらに、IPカメラ、ルーターなどにマルウェアを感染させ、ボットネット化し、DDoS攻撃に利用されたMiraiの事件も問題になっている。

「IPカメラ、ルーター、DVR（防犯カメラの映像を記録するレコーダ）の3つは、全世界で膨大な数の機器がマルウェア感染しているということははっきりとしています。少なくとも数十万台のオーダーに達していると推計しています」（吉岡准教授　以下同じ）。

ただし、問題は、現在、世界全体でどのくらいの数のIoT機器が使われているかという統計が存在しないことだ。「数十万台の感染」の分母がはっきりしないため、これが深刻な状況なのか、それとも軽微な被害なのかの評価が難しい。

この「数十万台」という推計は、吉岡准教授が運営しているハニーポットの統計を基に推計されている。

ハニーポットとは「蜜の壺」のことで、不正アクセスを検知する囮、罠のことだ。マルウェアに感染をした機器が感染を広げようとする攻撃を検知することで、世界でどの程度の機器がマルウェア感染をし、感染を広げようと活動をしているかが推計できる。

ただし弱点もある。「感染はしていても潜伏をしていて活動を行なっていない場合は、検知ができません。検知ができるのは、悪さをしようとしているマルウェアからのアクセスだけなのです」。なので、マルウェア感染をし、さらに感染を広げようと活動しているIoT機器の数が「数十万台」であり、実際にマルウェア感染をしているIoT機器の数は、これより多くなる可能性がある。

出荷時設定のままの管理者パスワード

IoT機器は、どのようにして侵入されてしまうのか。よく知られるのが出荷時設定パスワードを使った管理画面からの侵入だ。IoT機器の多くは操作画面を持っていないため、PCなどから管理用のサービスにアクセスをして、機器の設定や管理を行う。この管理用アカウントとパスワードは出荷時には「admin、password」のようなものに設定されていることが多く、そのまま使ってしまうケースがある。特に家庭用のIoT機器の場合、そういう管理用のアカウントが存在することすら知らずに使っている人もいるだろう。

このような出荷時設定のアカウントは、取扱説明書に明記されていることが多く、公開情報に等しい。取扱説明書には、必ず出荷時設定のアカウントを変更することと記載されているはずだが、それを行う人は少ない。これを利用して、管理画面に侵入をされ、設定を換えられたり、あるいはマルウェアを送り込まれたりすることになる。

メーカーも知らないバックドアの存在

吉岡准教授は、このような脆弱性の他にも「メーカーの開発者すら気づかないバックドア」が存在することがあると指摘する。

IoT機器の多くは、組み込み用Linuxなどを利用して開発することが多い。そのLinuxにリモートログイン機能があり、それを開発者が知らずにそのまま製品化してしまうというケースもある。

また、リファレンスモデルを利用するときにもこのようなバックドアが残ってしまうことがある。リファレンスモデルとは、あるメーカーが製品を開発し、契約した他メーカーはその製品とほぼ同じものを製造、販売するというもの。短時間で、特定の製品を一気に市場に供給することができる。契約メーカーは、そのリファレンスモデルを独自に改良し、独自色を出していくことになる。この場合も、元々のモデルにリモートログイン機能が残されていた場合、契約メーカーはそれに気がつかず、リモートログイン機能を残したまま、製品を市場に提供してしまう可能性がある。

吉岡准教授は、このような開発者が気づいていない脆弱性がいちばん危ないと指摘する。「私たちが機器のセキュリティ問題を発見すると、JPCERTやNISC、メーカーに通報をしますが、メーカー側でもそんなリモートログイン機能が存在していたとは知らなかったと驚かれることがあります」。JPCERTなどが組み込みLinuxなどの脆弱性を警告しても、メーカーも把握しておらず、自社製品との関係が認識できず対応が行われないこともある。もし、そこでなんらかの攻撃が行われれば、JPCERTは警告をしているにもかかわらず、実質的にゼロデイ攻撃と同じ状況になってしまう。

脆弱性を排除しきれない現代の開発手法

メーカーは、自社製品であるのに、なぜ自社製品の脆弱性に気がつかないのだろうか。それは現在の開発手法に原因があると、吉岡准教授は指摘をする。

開発の基本は「スクラッチ」いわゆるゼロからハードウェアとソフトウェアを作るというものだが、現在、このようなスクラッチ開発をする製品はほとんどない。特にIoT機器のように、流行の移り変わりが激しく、なおかつ低価格製品では、スクラッチ開発をしていたら開発費用がかかり採算に合わない。そこで、他社が開発をしたキットやプラットフォームなどを購入して、その上で開発を行い、自社の独自性を追加していくということが一般的になっている。「ですから、そもそも提供されたプラットフォームに脆弱性があったら、開発者も気がつかないわけです。理屈を言えば、開発を始める前にプラットフォームを徹底的に検証しておくべきなのですが、現実には難しい面もあります」。

このようなIoT機器のキット、プラットフォームを開発しているのは、中国や台湾のメーカーが多い。日本のメーカーは、このような企業から提供を受けて、自社製品を開発している。そのため、優秀なプラットフォームは複数のメーカーに提供されることになる。「その大元のプラットフォームに脆弱性が発見されると、それを利用している複数の製品に、広範囲に影響するということが起こっています」。

3つにまとめられる侵入経路

現在、IoT機器への攻撃経路は次の3つにまとめることができそうだ。
（1）管理画面などのように製品の機能上必要な機能で、ユーザーが出荷時パスワードのまま使うなど、正しくセキュリティ設定を行なっていない場合。
（2）リモートログイン機能に使われるTELNETやSSHが、管理用サービスとして製品の機能に必要がないのに残ってしまっている場合。
（3）機器のサービスの脆弱性を突く場合。

次回は、吉岡准教授に、攻撃者の意図について話を聞く。
　
（その2に続く）