「テディベアがあなたの会話を聞いている」時代のIoTセキュリティとは：テレビがCIAの盗聴デバイスに

2年前、IoT攻撃は、業界関係者や陰謀論者だけが興味を持つ“あり得ない”攻撃手段という認識だった。だが、もはや十分“あり得る”事態となっている。

[Mordechai Guri，TechTarget]

IoTセキュリティの難しいところはデバイス側のOSや形態が「種々雑多」ということに尽きる

　最近、ネットワークアクセスに対応した“テディベア”を持つ子どもと親の200万件に及ぶ音声データと80万件以上の電子メールアドレスおよびパスワードが、オンラインで不特定多数からアクセス可能となっていたことが発覚した。これをきっかけにIoTのサイバーセキュリティは、一般家庭でも不安視すべきリスクとなった。

　そのリスクに関心がなかった人も、2017年3月にはその考えを変えてしまうほどの事件が起きた。Samsung Electronics製テレビを盗聴デバイスにしてしまう米中央情報局（CIA）のハッキングツールの存在を、内部告発情報を公開するWebサイト「WikiLeaks」が暴露したからだ。

　IoTマルウェアの進化はクライアントPCベースのマルウェアの進化をなぞっているが、そのペースはすさまじい。初期の攻撃は基本的に悪ふざけレベルで、いたずら目的で何ができるか試そうとしていた。例えば、2012年に起きた40万台以上の組み込み機器で構成するボットネットを使って、“インターネットセンサス（実態調査）”と称したデータ収集がそうだった。

　だが、サイバー犯罪者はすぐにその可能性に注目し、IoTマルウェア「Mirai」を使って構築したボットネットでDynやDeutsche TelekomなどにDDoS攻撃を仕掛けるに至った。最新の動きとしては、こうしたボットネットやランサムウェア、あるいはクリック詐欺業者を利用して、IoTマルウェアの収益化を盛んに試みている。クリック詐欺業者には、マルウェア「Moose」を感染させたLinuxベースのルーターや機器のボットネットを使い、「Instagram」のフォロワーを販売している例がある。

併せて読みたいお薦め記事

MiraiがIoTの未来に与えたダメージ

• 「Mirai」より凶悪な攻撃が起きる――IoTセキュリティが2017年に進むべき方向は
• “アンナ先輩”の「Mirai」がより凶悪に？　DDoS攻撃を約50倍に増幅する手口が判明
• “アンナ先輩”が公開したマルウェア「Mirai」に専門家が震え上がる訳

それでも広がるIoTの世界

• IoTにトライしていない企業はたった11％、IT投資動向調査で驚きの結果
• IoTデバイスを体内に組み込む実験が増加、「ミクロの決死圏」は夢物語ではない？
• IoTと交わるモビリティの未来――5Gネットワーク、コネクテッドカーの動向は

IoT攻撃の動向

　こうした攻撃は、大規模なデータ流出や損害を引き起こしたこれまでの攻撃と比べて目立たないかもしれないが、その潜在的影響は甚大だ。Gartnerは、2020年にIoTデバイスの設置台数が210億台に拡大すると予想している。しかも、その種類はトースターやテレビ、そして、テディベアだけでない。2020年には“コネクテッドカー”の走行台数が2億5000万台に達する見通しだ。これに伴い、セキュリティ問題は全く新しいレベルに突入する。

　IoTデバイスを利用し、それ故に悪用できる場面が多岐にわたることから、IoT攻撃は幾つかの方向で展開しそうだ。

DDoS攻撃

　IoTの普及とともにIoTボットネットも拡大し、IoTボットネットが大規模なDDoS攻撃を仕掛ける能力も格段に増す見通しだ。Dynのネットワークに対するMiraiボットネットの攻撃は史上最大規模だった。攻撃の強度は1.2Tbpsに達したという報告もあり、80以上の大手Webサイトがダウンした。Dynの予備分析では、Miraiボットネットに関連付けた数千万のばらばらなIPアドレスなどが攻撃に関与していたことが分かった。

　さらにこのボットネットは、フィンランドの熱供給設備に障害を起こし、Deutsche Telekomの100万人近くのユーザーをネットワーク接続不能にし、WikiLeaksへのDDoS攻撃に使用され、ロシアの5つの銀行の業務を妨害した。

　Miraiは単なる攻撃ツールではなく、開発フレームワークにもなってしまった。2016年10月、Miraiの作者がソースコードを公開した。これを受けてハッカーは、より感染力が強く、広範に拡散する亜種の開発を始めた。資格情報の窃盗、IPの匿名化、永続化、トラフィックの隠蔽といった新機能により、その攻撃力は一段と高くなりそうだ。このMiraiの新しい亜種では、挙動の追跡を困難にし、感染機能を高めることで、より多様なデバイスを標的にするためのオブファスケーション（コード構成を複雑にしてプログラムの解析を困難にする）技術も採用するという。

IoTランサムウェア攻撃

　最近まで、IoTランサムウェアは理論上のものだった。しかし、2016年の「DEF CON」カンファレンスで、研究者はスマートサーモスタットがランサムウェアを感染するデモを公開し、Intel Securityのゼネラルマネジャーを務めるクリス・ヤング氏は、Bloombergの取材で「ハッカーが車を人質に取り、オーナーに、『車で仕事に出たければ身代金を払え』と要求するようになる」という未来像を提示した。

　そうした未来は予想以上に早くやって来た。2017年1月、サイバー攻撃がオーストリアの4つ星ホテルの電子鍵システムとコンピュータをロックし、機能の復元と引き換えに1800ドルをビットコインで支払うよう要求する事件が起きた。ホテルはこの要求に応じている。この先、サイバー犯罪者が同様の手口を使おうとするのは容易に想像がつく。インスリンポンプやペースメーカーといった医療デバイスをハッキングし、その解除と引き換えに身代金を要求する可能性もある。

　IoTランサムウェアはまだ大きな問題になっていないが、皮肉にも、その1つの理由は、IoTのセキュリティ確保が非常に難しい理由と重なっている。つまり、IoTデバイスやそのOSが多種多様であるため、ハッカーは今のところ、迅速あるいは簡単に拡散するランサムウェアを作成できずにいる。

ネットワークへの侵入口としてのIoT

　エッジデバイスの増加に伴い、サイバー犯罪者には、エッジデバイスに接続したネットワークに侵入する足掛かりを得る機会が増える。残念ながら、多くのIoTデバイスベンダーが製品の市場投入を急ぐあまり、セキュリティを軽視している。セキュリティ問題を認識しているベンダーも、サードパーティーコンポーネントを「安全性に欠けている」と知らずに自社製品に組み込んでしまうかもしれない。Miraiボットネットに加担してしまったWebカメラの多くは、同じベンダーの電子部品を利用していた。

スパイや監視のためのIoT

　IoTの最も気掛かりなセキュリティ問題の1つは、IoTデバイスが最もプライベートな場面に入り込んでさらしてしまう可能性があることだ。2014年に発生した初めての事例では、数万台のホームセキュリティカメラがハッキングに遭い、設置した住居内の映像をオンラインでライブストリーミング配信している。ほとんどの場合、これらのカメラのデフォルトパスワードを変更するだけで配信を停止できる。

　だが、Senrioの研究者は、D-Link製カメラにセキュリティ上の欠陥を発見した。サイバー犯罪者がこれを悪用して管理者パスワードを上書きし、カメラだけでなく、その接続先のネットワークもハックして、数千人のユーザーをさらし者にする恐れがあるという。

　もっと迷惑な攻撃が、2017年3月にWikiLeaksが公開したCIAからの流出資料とされる文書で明らかになった。この文書によると、英国情報局保安部（MI5）とCIAは、テレビをスパイツールに変えられるスマートテレビアプリ「Weeping Angel」を共同で開発している。特にSamsung製テレビをターゲットとするこのマルウェアは、ユーザーがテレビをつけていないときも含めて周囲の音を録音する。このプロジェクトがどのような開発段階にあるかは不明だ。しかし、サイバー犯罪者がこの種のハッキングを行った場合、甚大な被害が発生しかねない。

ベンダーの対応強化が必要