連載「IoTのセキュリティリスクを考える」#03 重要生活機器連携セキュリティ協議会 伊藤公祐事務局長、緒方日佐男氏(ATM-SWG主査)、三上清一氏(車載器SWG主査)生活関連IoT機器のセキュリティをどう守るか(前編)

牧野武文

December 25, 2017 08:00
by 牧野武文

スマートスピーカー、カーナビ、Webカメラなど、IoT機器は当たり前のように生活の中に入ってきている。しかし、多くの消費者は「便利な機器」というところばかりに注目し、セキュリティに目を向けることは少ない。この問題を、IoT機器メーカーはどのように解きほぐしていけばいいのだろうか。生活関連のIoT機器のセキュリティガイドラインを策定・公開している重要生活機器連携セキュリティ協議会(CCDS)の伊藤公祐事務局長に聞いた。

重要生活機器連携セキュリティ協議会(CCDS)

IoT機器のセキュリティは製造者責任か運用者責任か

IoT(Internet of Things)機器は、すでに生活の中に浸透している。スマートスピーカー、テレビ用セットトップボックス、カーナビ、ペットや赤ちゃんのモニターカメラなど、多くの機器がインターネットに対応している。問題は、このようなIoT機器はネットワーク端末であるのに、一般的な消費者にとってはそのような意識はなく、「とても便利な生活家電」としてのみ認識されていることだ。そのため、セキュリティ意識が薄く、特段のセキュリティ対策をせずに使っている例が多いと思われる。

実際、IoT機器に対する最も一般的な攻撃手法は「出荷時パスワードを試してみる」という初歩的なもので、これで多くのIoT機器にマルウェアが感染し、ボットネット化されDDoS攻撃に利用されたり、また個人情報などの漏洩事件が起きたりしている。

セキュリティは製造者の責任か、運用者の責任か。私たちの社会は、常にこの狭間を揺れ動いてきた。しかし、その製品が消費者寄りであればあるほど、製造者側がセキュリティを考えなければならなくなる。それが責任のあり方として正しいのかどうかという議論は別にして、消費者全員が高いセキュリティ意識を持つことは現実的に難しい。だから製造者が一定のセキュリティ対策を行わなければ、世の中に脆弱な機器が氾濫することになり、それが社会全体の脆弱性となって攻撃されることになる。

セキュリティとユーザビリティのトレードオフ問題

例えば、世界中のWebカメラの映像を見ることができるサイト「Insecam」に登録されているWebカメラの多くが、出荷時パスワードをそのまま使っているのだと推測されている。出荷時パスワードは取扱説明書にも明記をされているので、公開情報と同じで、誰でもアクセスできてしまう。

セキュリティの甘いWebカメラを公開している「Insecam」

運用者側の解決策としては、出荷時パスワードそのままの利用が危険であることを認識し、パスワードを変更してから利用する方法がある。しかし現実には限界があり、これだけで解決することはできない。製造者側の解決策としては、「出荷時パスワードを変更しないと利用が開始できない仕様にする」という方法がある。これであれば、問題はある程度解決できると考えられる。しかし「そのような仕様にすればセキュリティは高くなります。しかし、その分、ユーザービリティが下がってしまいます」と伊藤氏は指摘する。手軽に入手できて、扱いやすく、それでいて便利というIoT機器の魅力を損ねてしまう。「設置、操作が煩雑になるのはユーザーにとっても好ましくないことで、メーカーはそれを補うためにユーザーサポートを手厚くせざるを得ません」。

メーカーは市場で他社と競争をしている。その争いの中で、一社だけ、セキュリティは高いものの、操作が煩雑という製品を販売するのは得策とはいえない。

すぐに業務に応用できる具体性のあるガイドラインが求められている

このような状況においては、業界横断的なガイドラインが有効だ。ガイドラインにそって製品開発をすれば、最低限のセキュリティが確保される。IoT機器の世界では、このようなガイドラインがない状態のまま、機器の普及だけが進んでいた。

そこで2016年に7月には、IoT推進コンソーシアム、総務省、経済産業省によって「IoTセキュリティガイドライン ver 1.0」が、2016年12月には独立行政法人情報処理推進機構(IPA)によって「IoT開発におけるセキュリティ設計の手引き」が、2017年6月には同じくIPAから「つながる世界の開発指針(第2版)」が策定・公開されている。

しかし、これらはいずれも開発者にとっては大いに役立つものの、IoT機器全般のセキュリティの考え方をまとめたものであるため、機器の分野ごとにさらに具体的なガイドラインを策定する必要がある。

そこで、CCDSは、一般的枠組みやIoTセキュリティガイドラインを上位概念に位置づけ、車載器、IoTゲートウェイ、金融端末(ATM)、決済端末(POS)といった分野別のセキュリティガイドラインを策定・公開した。これらは、特定分野にフォーカスしたものであり、製品の開発や運用に速やかに適用できるものになっている。

セキュリティを考えるきっかけになったマルウェア「Stuxnet」

IoT機器に先行して、組み込み機器などのデバイスのセキュリティがクローズアップされたのは、2010年に起きたマルウェアStuxnet(スタクスネット)によるインシデントだった。スタクスネットは、明確にエネルギー産業を狙った攻撃だった。Stuxnetは、USBメモリーやファイル共有などを介して、Windowsの脆弱性を利用して感染をする。さらに、電力会社などで使われているシーメンス社製のソフトウェアの脆弱性を利用し、発電、送電機能などに関するデータベースにアクセスをする。このようなインフラ制御情報を盗むためのものだったのではないかと考えられている。

このインシデントにより、世界各国で、重要インフラのセキュリティを考える動きが活発化した。「日本でも、経済産業省を中心に重要インフラのセキュリティ対策の動きが加速をして、2012年に技術研究組合制御システムセキュリティーセンター(CSSC)が設立されました」。

アンマネージドな環境で運用される生活関連IoT機器

重要インフラのセキュリティが大切であるのは当然だが、生活機器のセキュリティも今後重要になるという議論が起きていた。しかし、CSSCのような重要インフラに照準を合わせた機関が、生活機器のセキュリティも扱うというのは難しいとの議論もあった。「重要インフラ設備は、使う機器もその目的に合わせて設計されたものです。しかも、運用には高度な知識を持った専門の職員があたり、管理された(マネージドな)環境にあります。一方で、IoTに使われる機器は、大量生産される汎用的なもので、高度なセキュリティ知識を持っているわけではない一般職員や消費者が扱います。いわば管理者不在のアンマネージドな環境で使用されるIoT機器のセキュリティは、また別に考える必要があります」。

そこで、生活機器に関するセキュリティ向上を目的にCCDSが設立された。CCDSの団体名は「IoT機器」という言葉を使わず、「重要生活機器連携」という言葉を使っている。「IoT機器は多岐にわたっているので、とてもすべての機器について研究したり、ガイドラインを策定したりすることはできません。そこで、ユーザーの生命財産を脅かす可能性のあるIoT機器から優先していこうと考えました。それで人命に関わる自動車車載器や生活環境のホームネットの要となるホームゲートウェイ、経済的損失に関わるATM、POSについてのガイドラインを優先して公開しました。この他、ヘルスケアなどの分野も重要だと考えています」。

こうして、CCDSは優先度の高い分野の製品から、ガイドラインを公表していっている。今後、他の分野の製品にも広げていく考えだ。
 
(後編に続く)

BugBounty.jp

必要な情報を収集・分析脅威リサーチ

サイバー攻撃に関連した機密情報や個人情報が漏洩していないかをダークウェブも含めて調査し、もし重要な情報が発見された場合は、その対応策についてもサポートします。また、サイバー攻撃者のコミ ュニティ動向を分析し、特定の業種や企業を狙った攻撃ツールやターゲットリストが出回っていないかなどの特殊な脅威調査も請け負っています。

公衆無線LANを悪用した暗号通貨マイニング術

January 19, 2018 08:00

by Zeljka Zorz

何も疑っていないユーザーのマシンを使って密かに暗号通貨のマイニングをさせることは、暗号通貨オーナーにとっての夢のような話だ。そして彼らの一部は、倫理的配慮を考えずにその夢の実現に取り組んでいる。 一般的に用いられる2つのアプローチは、コンピューターやウェブサイトを危殆化し、マイニングのソフトウェアを…

ベトナム政府が背後にいる!? ハッカー集団「APT32」の暗躍

January 15, 2018 08:10

by 牧野武文

アジア圏で暗躍するハッカー集団がいる。「APT32」あるいは「オーシャンロータス」(Ocean Lotus Group)と呼ばれる組織だ。どちらの名前も、観測をした研究者が命名したものであり、正式名称は不明だ。米セキュリティ企業ボレシティ(Volexity)は、ブログでこのオーシャンロータスが、ベト…

国内の言論統制が目的か? ベトナム人民軍のサイバー部隊「Force 47」(後編)

January 12, 2018 08:00

by 江添 佳代子

近年のベトナムとFacebook 前編でお伝えしたとおり、オンラインでの自由な発言を国民に許可していないベトナムは、中国やトルコなどの国とたびたび比較されてきた。しかし、これらの国々の中では比較的「ブロックが手ぬるいほう」だったと言えるかもしれない。 たとえばベトナムは2009年頃からFaceboo…