あらゆるモノがインターネットでつながるIoTデバイスの爆発的な普及は、新たな産業やイノベ―ションの創出を促す半面、セキュリティリスクを増大させている。IoTセキュリティは守備側に比べて、圧倒的に攻撃者が優位にあるといわれる。流れを変えるには何が必要か。国、企業、個人に問われるIoT時代のセキュリティ対策について、2017年、国立研究開発法人情報通信研究機構の理事長に就任した徳田英幸氏に聞いた。

管理の行き届いていない「のらIoTデバイス」が踏み台に

――デジタル化の進展はサイバー攻撃そのものを高度化・複雑化させています。サイバー攻撃の現状と注目すべき最新の事例について伺います。

徳田英幸(とくだひでゆき)
国立研究開発法人情報通信研究機構(NICT)理事長
慶應義塾大学客員教授
1975年、慶應義塾大学工学部卒業。同大学院工学研究科修士。1983年、ウォータールー大学計算機科学科博士。1983年、米国カーネギーメロン大学計算機科学科に勤務、研究准教授を経て、1990年より慶應義塾大学環境情報学部に勤務。慶應義塾常任理事、環境情報学部長、大学院政策・メディア研究科委員長などを経て、2017年より現職。日本学術会議会員、日本学術会議第三部情報学委員会委員長、情報処理学会フェロー、日本ソフトウェア学会フェロー、IoT推進コンソーシアムIoTセキュリティワーキンググループ委員、スマートIoT推進フォーラム座長、重要生活機器連携セキュリティ協議会(CCDS)会長なども務める。

 日本語に対応したスマートスピーカーが相次いで登場し話題となっていますが、なりすまし攻撃の標的となり、たとえば、頼んでもいない食事の宅配サービスが届くといったことも、今後は心配されます。

 もう少し怖い例が、英国の消費者団体「Which?」のサイトで報告されています。BluetoothやWi-Fiなどに接続する子ども向けのスマートロボットが、簡単にハッキングできることが彼らの調査によって明らかになったのです。ニュースサイトの動画では、悪意のある人物が、留守番をしている子どもに、ロボットを介して「サプライズのプレゼントがあるから、玄関の外をのぞいてごらん」と話しかけ、子どもをだまし、玄関のカギを開けることに見事成功しています。 https://www.which.co.uk/news/2017/11/safety-alert-see-how-easy-it-is-for-almost-anyone-to-hack-your-childs-connected-toys/

 「Mirai」に代表されるマルウェアが、インターネット経由でIoTデバイスを攻撃し、管理者パスワードを破って、書き換えてしまう。そのIoTデバイスを踏み台にして、他のデバイスへの攻撃を仕掛けています。ネットワークにつながったウェブカメラや監視用カメラが破壊的なDDoS攻撃に利用されたニュースは記憶に新しいでしょう。

 従来のサイバー攻撃はPCやサーバーが踏み台となっていましたが、IoTデバイスの爆発的な普及に伴い、管理の行き届いていない「のらIoTデバイス」への攻撃が増えています。重要生活機器連携セキュリティ協議会(CCDS)がIoTデバイスの脆弱性を検証したところ、スマート家電やスマート健康機器、HEMS端末、IoT/ホームゲートウェイなど想像以上にいろいろな機種が踏み台にされていることがわかりました。情報通信研究機構(NICT)の調査では、IoTデバイスへの攻撃件数は2015年に6000万件に達し、通信プロトコルTelnetへのアクセスは1日あたり7億パケットを超えるときもあり、全攻撃パケットの約3分の2がIoTデバイスを狙っています。

 サイバーセキュリティを専門とする横浜国立大学大学院環境情報研究院/先端科学高等研究院の吉岡克成准教授によると、2016年1~6月の6カ月で横浜国大に攻撃してきたマルウェア感染IoT機器は約60万台、500種類以上にも上り、感染機器には監視カメラやネットワーク機器のほかにも、太陽光発電管理システム、電力需要監視システム、医療機器(MRI)があったそうです。

 マルウェアのなかには簡単に除去できるものもあれば、一度除去しても再びネットにつなげると最短で40秒程度でパスワードを書き換えてしまうものが存在します。それが愉快犯、確信犯含めてケタ違いに増えているというのが悩ましい現状です。