IoTとそのセキュリティの現実
■すでに身近に存在するIoT
身の回りのあらゆるものをインターネットに接続する、いわゆる「IoT」(Internet of Things = モノのインターネット)という言葉があちこちで聞かれるようになってきました。
テレビCMでさかんに放送されているAIスピーカーといった目立ったものだけでなく、すでに一般的なものではテレビやビデオレコーダーもインターネット接続がサポートされており、遠隔で録画した番組を見たり、番組録画を指示したりできるようになっています。
このような中、今話題のAIスピーカーの脆弱性が報告されました。
■AIスピーカーの脆弱性
現在、さまざまなAIスピーカーが提供を開始しました。
その中で、「Amazon Echo」(アマゾン エコー)に脆弱性があることが指摘されました。
2017年8月、英国のサイバーセキュリティ企業MWR InfoSecurityのMark Barnes氏が報告しました。
アマゾン エコーにはOSとしてLinuxが搭載されており、それに管理者権限でマルウェアをインストールすることができるという脆弱性です。
もしマルウェアに攻撃者がリモートアクセスできる機能があるとすると、アマゾン エコーを乗っ取られるだけでなく、盗聴器として利用されてしまう可能性が指摘されました。
■IoTを狙った攻撃とbotネット
IoT機器の脆弱性を狙った攻撃については、最近「Mirai」と呼ばれるマルウェアがよく知られています。
インターネットにつながるネットワークカメラやインターネットルータ、デジタルビデオレコーダーといったIoT機器が主な標的となります。これら機器で動作するソフトウェアの脆弱性を利用してマルウェアが感染すると、攻撃者が遠隔操作可能な状態(=踏み台)となります。
踏み台になると、攻撃者は任意のコマンドを多数の踏み台に対して同時に実行できるようになります。
こうした踏み台を使った攻撃として話題となったのは、大規模なDDoS攻撃(分散(distributed)DoS攻撃)を可能にする、いわゆるボット(bot)ネットワークが構築されていることが発見され、実際に攻撃に使われたことです。
他にも、迷惑メールの配信や情報漏えいを狙った操作などがあります。
多数の踏み台にされたコンピュータを持つ人達は踏み台にされたことに気づかないケースが多いです。さらに攻撃者との関係性も無いことが一般的です。
したがって、通信のログだけで攻撃者を特定することは困難です。また、攻撃された場合は対処として攻撃通信のブロックがありますが、直接の攻撃元(踏み台)は一般のインターネットユーザであることが多いことから、本来のユーザにも影響を及ぼすので注意が必要です。
■Miraiによる被害
2016年10月21日以降、米国で断続的にインターネットへのアクセスができなくなり、Twitter、Netflix、PayPal、PlayStation Networkといった著名なインターネットサービスが被害を受けました。
これは、これらのサービスがインターネット上の名前解決をするために利用されるDNS(Domain Name System)がDDoS攻撃を受けたことが原因で、このDDoS攻撃が「Mirai」に感染した機器から発せられたと言われています。
そして、ちょうどその被害が発生する直前に「Hack Forums」とよばれるサイトに「Anna-senpai」という匿名の者が、自らのDDoS攻撃の関与に関する記述とともに「Mirai」のソースコードを公開しました。
2016年10月の事件はこの投稿との関連性が疑われています。
実際、ソースコードを公開できるGitHubというサービス上では、”mirai”と検索するだけで、既に多くの「Mirai」またはその亜種と思われるソースコードが公開されています。
このようなことから、プログラミングのスキルがある者であれば、誰でもこれを基に亜種を作り出すことが可能な状態です。このため、攻撃の数・パターンともに多くなりやすいといえます。
■OVHのDDoS攻撃被害
OVHはフランスのホスティングサービス事業者ですが、2016年9月に、大規模なDDoS攻撃の被害にあったことを明らかにしました。
攻撃の発信元は踏み台にされたデジタルビデオレコーダーやネットワークカメラ計14万台で構成されるボットネットであったとのことです。
このように、家電品もインターネットに接続するようになっているため、サイバーセキュリティの対象に加えるべきです。
そして、インターネットに接続するこれら機器は、ファームウェアが常に最新の脅威に対応するよう、バージョンアップしているものを選ぶことをおすすめします。
■Deutsche TelekomのDDoS攻撃被害
ドイツの通信会社Deutsche Telekomは2016年11月、「Mirai」による攻撃を受け、顧客のサービスに障害が発生したと報告しました。
問題が発生していたのは家庭に設置されているルータで、全顧客の4~5%になるといわれています。
ボットネットは他に脆弱性のあるデバイスがないか探査する機能がありますが、Deutsche Telekomの顧客の家庭用ルータはこの探査を受けると誤動作やクラッシュを起こすため、インターネット接続ができなくなるといった被害を受けました。
この例は、ボットに不具合があったための被害例です。このように必ずしもボットは想定通りに動作するとは限らず、例え想定通りに動かなかったとしても被害が生じる可能性があるということがわかります。
Insecamというサイトでは無防備にインターネットにさらされているWebカメラ(ネットワークカメラ)の存在が公開されてしまっています。日本においても例外ではありません。ここで公開されているカメラの台数のうち、日本は世界で第3位になっています。
このようなところから情報漏えいが発生しています。おそらく、管理者ID/パスワードを工場出荷時のままであったり、簡単なパスワードに設定した状態でインターネットに接続したりしているためと考えられます。また、カメラに搭載されているアプリケーションに脆弱性があり、ID/パスワードが見えてしまう例もあります。
もし、ネットワークカメラを設置している場合は、パスワードの変更ができているか、不審なアクセスが無いかを確認することをおすすめします。
■医療機器もIoTの時代に
医療分野においてもIoTの時代となっています。特に「医療IoT(Internet of Medical Things: IoMT)」と呼ばれており、Wi-Fi、Bluetoothなどのワイヤレス通信機能を備えた医療機器が活用されつつあります。
患者の遠隔モニタリング機器、遠隔調整可能なスマート輸液ポンプ、遠隔で状態監視できるスマートベッドといったものが活用例としてあります。
このような中、マルウェア感染やハッキングされる脆弱性が報告された機器が存在しており、医療機器もサイバーセキュリティの例外ではないことがわかります。
<参考>
現在、Bluetooth接続はパソコン、スマートフォンだけでなく、IoT機器など様々なデバイスで無線接続のために利用されています。
最近ではスマートフォンと自動車の接続や、ヘッドフォンにもBluetooth接続の利用が多くなってきており、ますまず生活に密着した技術となってきています。
このような中、"BlueBorne"と呼ばれるBluetoothの脆弱性が明らかになり、話題となっています
この脆弱性は米セキュリティ企業Armis Labsにより2017年4月に発見され、9月12日に公開されました。
Armis "The IoT Attack Vector “BlueBorne” Exposes Almost Every Connected Device”(英語)
https://www.armis.com/blueborne/
また、JPCERT/CC(JPCERT コーディネーションセンタ)でも9月13日に注意喚起されています。
Bluetooth の実装における脆弱性 "BlueBorne" に関する注意喚起
まだ具体的な被害事例の報告はないようですが、多くの機器で再現性の高いものなので、知らないうちに被害にあっている可能性は否定できません。