連載「IoTのセキュリティリスクを考える」#03 重要生活機器連携セキュリティ協議会 伊藤公祐事務局長、緒方日佐男氏(ATM-SWG主査)、三上清一氏(車載器SWG主査)生活関連IoT機器のセキュリティをどう守るか(前編)

牧野武文

December 25, 2017 08:00
by 牧野武文

スマートスピーカー、カーナビ、Webカメラなど、IoT機器は当たり前のように生活の中に入ってきている。しかし、多くの消費者は「便利な機器」というところばかりに注目し、セキュリティに目を向けることは少ない。この問題を、IoT機器メーカーはどのように解きほぐしていけばいいのだろうか。生活関連のIoT機器のセキュリティガイドラインを策定・公開している重要生活機器連携セキュリティ協議会(CCDS)の伊藤公祐事務局長に聞いた。

重要生活機器連携セキュリティ協議会(CCDS)

IoT機器のセキュリティは製造者責任か運用者責任か

IoT(Internet of Things)機器は、すでに生活の中に浸透している。スマートスピーカー、テレビ用セットトップボックス、カーナビ、ペットや赤ちゃんのモニターカメラなど、多くの機器がインターネットに対応している。問題は、このようなIoT機器はネットワーク端末であるのに、一般的な消費者にとってはそのような意識はなく、「とても便利な生活家電」としてのみ認識されていることだ。そのため、セキュリティ意識が薄く、特段のセキュリティ対策をせずに使っている例が多いと思われる。

実際、IoT機器に対する最も一般的な攻撃手法は「出荷時パスワードを試してみる」という初歩的なもので、これで多くのIoT機器にマルウェアが感染し、ボットネット化されDDoS攻撃に利用されたり、また個人情報などの漏洩事件が起きたりしている。

セキュリティは製造者の責任か、運用者の責任か。私たちの社会は、常にこの狭間を揺れ動いてきた。しかし、その製品が消費者寄りであればあるほど、製造者側がセキュリティを考えなければならなくなる。それが責任のあり方として正しいのかどうかという議論は別にして、消費者全員が高いセキュリティ意識を持つことは現実的に難しい。だから製造者が一定のセキュリティ対策を行わなければ、世の中に脆弱な機器が氾濫することになり、それが社会全体の脆弱性となって攻撃されることになる。

セキュリティとユーザビリティのトレードオフ問題

例えば、世界中のWebカメラの映像を見ることができるサイト「Insecam」に登録されているWebカメラの多くが、出荷時パスワードをそのまま使っているのだと推測されている。出荷時パスワードは取扱説明書にも明記をされているので、公開情報と同じで、誰でもアクセスできてしまう。

セキュリティの甘いWebカメラを公開している「Insecam」

運用者側の解決策としては、出荷時パスワードそのままの利用が危険であることを認識し、パスワードを変更してから利用する方法がある。しかし現実には限界があり、これだけで解決することはできない。製造者側の解決策としては、「出荷時パスワードを変更しないと利用が開始できない仕様にする」という方法がある。これであれば、問題はある程度解決できると考えられる。しかし「そのような仕様にすればセキュリティは高くなります。しかし、その分、ユーザービリティが下がってしまいます」と伊藤氏は指摘する。手軽に入手できて、扱いやすく、それでいて便利というIoT機器の魅力を損ねてしまう。「設置、操作が煩雑になるのはユーザーにとっても好ましくないことで、メーカーはそれを補うためにユーザーサポートを手厚くせざるを得ません」。

メーカーは市場で他社と競争をしている。その争いの中で、一社だけ、セキュリティは高いものの、操作が煩雑という製品を販売するのは得策とはいえない。

すぐに業務に応用できる具体性のあるガイドラインが求められている

このような状況においては、業界横断的なガイドラインが有効だ。ガイドラインにそって製品開発をすれば、最低限のセキュリティが確保される。IoT機器の世界では、このようなガイドラインがない状態のまま、機器の普及だけが進んでいた。

そこで2016年に7月には、IoT推進コンソーシアム、総務省、経済産業省によって「IoTセキュリティガイドライン ver 1.0」が、2016年12月には独立行政法人情報処理推進機構(IPA)によって「IoT開発におけるセキュリティ設計の手引き」が、2017年6月には同じくIPAから「つながる世界の開発指針(第2版)」が策定・公開されている。

しかし、これらはいずれも開発者にとっては大いに役立つものの、IoT機器全般のセキュリティの考え方をまとめたものであるため、機器の分野ごとにさらに具体的なガイドラインを策定する必要がある。

そこで、CCDSは、一般的枠組みやIoTセキュリティガイドラインを上位概念に位置づけ、車載器、IoTゲートウェイ、金融端末(ATM)、決済端末(POS)といった分野別のセキュリティガイドラインを策定・公開した。これらは、特定分野にフォーカスしたものであり、製品の開発や運用に速やかに適用できるものになっている。

セキュリティを考えるきっかけになったマルウェア「Stuxnet」

IoT機器に先行して、組み込み機器などのデバイスのセキュリティがクローズアップされたのは、2010年に起きたマルウェアStuxnet(スタクスネット)によるインシデントだった。スタクスネットは、明確にエネルギー産業を狙った攻撃だった。Stuxnetは、USBメモリーやファイル共有などを介して、Windowsの脆弱性を利用して感染をする。さらに、電力会社などで使われているシーメンス社製のソフトウェアの脆弱性を利用し、発電、送電機能などに関するデータベースにアクセスをする。このようなインフラ制御情報を盗むためのものだったのではないかと考えられている。

このインシデントにより、世界各国で、重要インフラのセキュリティを考える動きが活発化した。「日本でも、経済産業省を中心に重要インフラのセキュリティ対策の動きが加速をして、2012年に技術研究組合制御システムセキュリティーセンター(CSSC)が設立されました」。

アンマネージドな環境で運用される生活関連IoT機器

重要インフラのセキュリティが大切であるのは当然だが、生活機器のセキュリティも今後重要になるという議論が起きていた。しかし、CSSCのような重要インフラに照準を合わせた機関が、生活機器のセキュリティも扱うというのは難しいとの議論もあった。「重要インフラ設備は、使う機器もその目的に合わせて設計されたものです。しかも、運用には高度な知識を持った専門の職員があたり、管理された(マネージドな)環境にあります。一方で、IoTに使われる機器は、大量生産される汎用的なもので、高度なセキュリティ知識を持っているわけではない一般職員や消費者が扱います。いわば管理者不在のアンマネージドな環境で使用されるIoT機器のセキュリティは、また別に考える必要があります」。

そこで、生活機器に関するセキュリティ向上を目的にCCDSが設立された。CCDSの団体名は「IoT機器」という言葉を使わず、「重要生活機器連携」という言葉を使っている。「IoT機器は多岐にわたっているので、とてもすべての機器について研究したり、ガイドラインを策定したりすることはできません。そこで、ユーザーの生命財産を脅かす可能性のあるIoT機器から優先していこうと考えました。それで人命に関わる自動車車載器や生活環境のホームネットの要となるホームゲートウェイ、経済的損失に関わるATM、POSについてのガイドラインを優先して公開しました。この他、ヘルスケアなどの分野も重要だと考えています」。

こうして、CCDSは優先度の高い分野の製品から、ガイドラインを公表していっている。今後、他の分野の製品にも広げていく考えだ。
 
(後編に続く)

BugBounty.jp

システムに内在するリスクをチェックセキュリティ診断(脆弱性診断)

提供会社:スプラウト

企業や組織のWebアプリケーション、各種サーバー、スマートフォンアプリケーション、IoTデバイスなどの特定の対象について、内外の攻撃の糸口となる脆弱性の有無を技術的に診断します。外部に公開す るシステムを安心かつ安全に維持するためには、定期的なセキュリティ診断が欠かせません。

BugBounty.jp

サイバー空間の最新動向を分析脅威リサーチ

提供会社:スプラウト

サイバー攻撃に関連した機密情報や個人情報が漏洩していないかをダークウェブも含めて調査し、もし重要な情報が発見された場合は、その対応策についてもサポートします。また、サイバー攻撃者のコミ ュニティ動向を分析し、特定の業種や企業を狙った攻撃ツールやターゲットリストが出回っていないかなどの特殊な脅威調査も請け負っています。

自動車ナンバープレートの「良番」が大量に手に入る理由

April 17, 2018 08:00

by 牧野武文

四川省涼山州公安の交通警察は、自動車ナンバー取得システムに侵入し、「88888」などの縁起のいいナンバーを公開直後に不正取得し、転売をしていた犯罪集団56人を逮捕したと『新京報網』が報じた。 自動車ナンバープレート約13億円 中国人は、数字に異常とも言えるこだわりを見せる。例えば、携帯電話の番号にも…

中国ホワイトハッカーのお給料はおいくら万円?

April 10, 2018 08:00

by 牧野武文

中国のセキュリティエンジニアは、どのくらいの給料をもらっているのか。中国情報安全評価センターは、「中国情報安全従業員現状調査報告(2017年版)」(PDF)を公開した。これによるとITの急速な発展により、中国の産業地図に変化が起きていることが明らかになった。 中国でも男性が多い職業 中国で急成長をす…