連載「IoTのセキュリティリスクを考える」 #01 横浜国立大学・吉岡克成准教授 (3) IoTのセキュリティを誰が守るのか

牧野武文

December 13, 2017 08:00
by 牧野武文

年々増加するIoT機器への攻撃。吉岡准教授によると現在はまだアーリーステージで単純な攻撃が多く、高度な攻撃が始まるのはこれからだと言う。それを見越して先に予防策を講じておくことが重要で、産官学の連携を取ることにより、日本製のIoT機器の強みに転化していくという発想が重要だという。

責任の所在が不明確なため、主導するプレイヤーがいないセキュリティ対策

IoT機器への攻撃のもうひとつの問題。それは、ステークホルダーが多すぎて、責任の所在が曖昧になっていることだ。PCを中心としたインターネットでは、サイバー攻撃に対する対策を誰が行うかがほぼ明確になっている。一義的にはネットワーク運営者の責任であり、Windowsなどのプラットフォームの脆弱性についてはマイクロソフトが責任をもって対応をし、オープンソースのものについてはCERTなどの体制ができあがっている。

吉岡准教授はIoT機器が普及をするほど、ステークホルダーが複雑に絡み合うようになり、この責任の所在が曖昧になっていることを懸念している。「産業制御システムであればメーカー、SI業者、利用者と3者の責任が絡み合います。コネクティッドカーのような自動車になると、メーカー、ディーラー、車検制度、利用者など、ステークホルダーがさらに増えます。まだ、IoT機器へのサイバー攻撃による被害の責任に関する判例はほとんどないですし、責任の所在問題はこれから議論されていくという段階です」。

責任の所在が明確になっていないということは、予防の対策も進まないということだ。例えば、国内では出荷時設定のままの管理者アカウントを使い続けることができないようにするよう、何らかの手を打つべきだという議論がある。では、これを誰が実施するのか。一般には、事故が起きた時に最も責任の負担の大きなステークホルダーが主導をして行う。万が一事故が起きた場合に支払う損害賠償コストと、防止策を実施するコストを比較して、防止策を講じるコストの方が小さければ、企業はすぐに行動をする。

不正アクセスの解釈についても議論はこれから

また法的な解釈も曖昧なままで、議論が焦点を結んでいかない。例えば、ネットワークに接続されているIoT機器を検索するエンジンに違法性はないのだろうか。また、そのようなIoT検索エンジンを利用することに違法性はないのだろうか。

IoT検索エンジンはいわゆるボットが巡回をして、IoT機器を探し回ってデータベース化している。この行為自体にそもそも問題があると考える研究者もいるという。

この出荷時設定のアカウント、パスワード情報を使ってのアクセスが、合法であると見るか、不正であると見るか。「私は法律関係の専門家ではありませんが、知る限り、国内の判例はないと思います。判断もものすごく難しく、国によっても判断が違ってくるのではないでしょうか」。

出荷時設定パスワードは取扱説明書にも書いてある公開情報だと見るか、それとも製品の購入者、利用者だけに限定された非公開情報だと見るか。

また多くのIoT機器の取扱説明書には「出荷時設定のアカウント、パスワードは必ず変更して使う旨」が明記されている。これを守らなかった利用者の責任になるのだろうか、それとも守らせる実効的な方策を打たなかったメーカーの責任になるのだろうか。

「いたずら」レベルの間に対策を講じておく必要がある

IoT機器のセキュリティが進まないもうひとつの理由が、攻撃の目的が単純なものであることだ。現状ではIPカメラの映像を盗み見るような好奇心、いたずらのレベルのものが多く、次にIoT機器をボットネット化してDDoS攻撃に利用するというもの。「現在の攻撃者は、IoT機器を利用してどんなことができるかをトライアルしている段階です。今後は、IoT機器を入り口として侵入し、ネットワーク内部の情報を盗むなど、別の目的を持った攻撃に移行させていくことがじゅうぶんに考えられます」。

そこで、吉岡准教授は、このような「次の攻撃」を探るシステムも運用している。ある場所に家庭のリビングのような施設を作り、そこに20数台のIoT機器を設置、攻撃者が不正アクセスをしてくるのを待つ。不正アクセスが確認できた後に、少し泳がせて、どのような行動をとるのかを観察するという手法だ。

ホワイトハッカー的手法は、まだ企業には受けいられづらい

本来は、メーカーもこのような研究を積極的に行うべきだが、このようなホワイトハッカー的な行為というのは企業活動とそぐわない部分があるという。「そもそもホワイトハッカー的な検証行為が法に触れないのか、新たなセキュリティリスクを生じないのか、風評被害のようなことは起きないのかと、企業としてはいろいろと考えなければならないことがあります」。

そこで、吉岡准教授のような研究者の役割が重要になる。企業としては、ハニーポットのような手法の研究を直接行うのは難しいが、研究者、研究機関との共同研究という形であれば積極的に参加できる。
「現在、家庭用IoT機器のセキュリティは、ようやく、各セキュリティ企業がセキュリティ製品を販売し始めた段階です。しかし、その多くが、ルーターの代わりにセキュリティゲートウェイを入れて、外からの攻撃を守るというもので、どの程度の効果があるのか明確になっていません」。

吉岡准教授は、このようなホームネットワーク用のセキュリティ製品の評価プラットフォームも必要だという。

協調か競合かで揺れ動くセキュリティ対策

もうひとつの問題は、消費者の意識だ。PCに対するセキュリティ意識は高まったものの、IoT機器に対するセキュリティ意識はほとんどない状態。IPアドレスを持ったIoT機器であっても、PCの周辺機器のような感覚でネットワークに接続してしまい、セキュリティ対策にあまり関心を持たない。もし消費者が「セキュリティ面がきちんと対策されている製品」を選ぶという消費行動を取るのであれば、メーカーはごく当然のこととしてセキュリティ対策を行うことになるだろう。しかし、現実には、機能が多彩な製品、価格が安い製品を選びがちで、セキュリティが製品選択のポイントにはなっていない。
「メーカーも、IoT機器のセキュリティ対策が協調領域の問題なのか、競合領域の問題なのか、測りかねているところがあります」。セキュリティが購入の選択基準になれば、各社とも競い合ってセキュリティ対策に力を入れる。そうでないなら、各社が協調して業界全体としてセキュリティ対策をしたいと考える。

しかし、IoT機器のメーカーは、中小企業も多く、さらに海外企業も多い。簡単に業界がまとまって協調してセキュリティ対策をすることは難しい。

政府が主導することも議論されていい。日本の強みに換えることができる

吉岡准教授は、政府や公的機関が主導していくことが重要だと提言する。「多くの機器が脆弱な状態で流通し、利用され、攻撃を受けています。メーカーの自助努力でこれらの機器のセキュリティが自然に向上する状況ではないと思います。積極的に国や公的機関が対策を検討する必要があると思います」。

今の日本のものづくりは、低コストで作ることではアジアに負け、発想の面では米国に勝てず、品質の高さでは中国、韓国、台湾に肩を並べられてしまっている。ひょっとすると、IT製品の安心安全がこれからの日本製品のトレードマークにできるかもしれない。そのためには、今すぐにでもIoT製品のセキュリティについて、政府、メーカー、研究者の間で議論を始めるべきだ。


横浜国立大学大学院環境情報研究院/先端科学高等研究院、吉岡克成准教授。IoT機器セキュリティの分野で、多くの公的機関、企業と連携をして研究を進めている。

BugBounty.jp

システムに内在するリスクをチェックセキュリティ診断(脆弱性診断)

提供会社:スプラウト

企業や組織のWebアプリケーション、各種サーバー、スマートフォンアプリケーション、IoTデバイスなどの特定の対象について、内外の攻撃の糸口となる脆弱性の有無を技術的に診断します。外部に公開す るシステムを安心かつ安全に維持するためには、定期的なセキュリティ診断が欠かせません。

BugBounty.jp

サイバー空間の最新動向を分析脅威リサーチ

提供会社:スプラウト

サイバー攻撃に関連した機密情報や個人情報が漏洩していないかをダークウェブも含めて調査し、もし重要な情報が発見された場合は、その対応策についてもサポートします。また、サイバー攻撃者のコミ ュニティ動向を分析し、特定の業種や企業を狙った攻撃ツールやターゲットリストが出回っていないかなどの特殊な脅威調査も請け負っています。

続・日本人マルウェア開発の実態を追うハッカーとセキュリティ技術者は「文明」と「文化」ぐらい異なる

December 31, 2018 18:41

by 『THE ZERO/ONE』編集部

前回の「日本人マルウェア開発者インタビュー」では、マルウェアの開発者が「生身の人間」であることを知った。 一般社会のステレオタイプは、マルウェア開発者が「反社会的である」「孤独である」という印象を植え付けてきた。しかし前回の取材を通して、実際の彼ら(彼女ら)を見てみると社会に順応し、きわめて組織的で…

中国でライドシェア殺人事件が発生

May 22, 2018 08:00

by 牧野武文

5月6日早朝、中国版ウーバーの「滴滴出行」(ディディチューシン)のライドシェアを利用した女性が、運転手に殺害されるという痛ましい事件が起きた。ほぼすべてのメディアが連日報道する大事件となった。各交通警察は、中国人民公安大学が制作した「ライドシェアを利用する女性のための安全防犯ガイドブック」を配布して…