イベントレポート

IoT推進委員会 第7回シンポジウム

“野良IoT”が“サイバーデブリ”と化し、ネット空間の環境汚染問題を引き起こす恐れ

脆弱性放置&管理者不在のIoT機器にどう対処する?

 IoTのさらなる普及が確実視される中、サイバーセキュリティ面でどんな取り組みが求められるのか? 一般財団法人インターネット協会(IAjapan)のIoT推進委員会と一般社団法人重要生活機器連携セキュリティ協議会(CCDS)の主催で8月下旬に開催されたシンポジウム「『知らないうちにあなたの製品が危ない! IoTでつながるリスク!』え!? ここまでやらないといけないの!? IoT時代のセキュリティ対策」の中から、情報セキュリティ大学院大学・学長の後藤厚宏氏による基調講演「ノラIoTの脅威と対応」など、2つの講演の概要をお伝えする。

情報セキュリティ大学院大学・学長の後藤厚宏氏

メンテされていないIoT機器は宇宙ゴミと同じ? “サイバーデブリ”問題とは

 後藤氏が講演冒頭で提起したのが“サイバーデブリ”の問題である。宇宙開発の分野では近年“スペースデブリ”の議論が巻き起こっている。廃棄された人工衛星、宇宙打ち上げロケットから脱落した部品などの人造ゴミが地球の周りに滞留し続け、結果として正常稼働中の宇宙ステーションなどに衝突し、深刻な影響を与えはしないか危惧されている。

 サイバーデブリはまさにそのIoT版。ルーター、監視カメラ、白物家電、ゲーム機、さらには自動車など、さまざまな機器がすでにインターネット接続を果たしているが、販売開始から年月が経過すると、セキュリティ脆弱性の発見や保護用のパッチ更新が立ちゆかなくなり、さらには運用管理者不在のまま、長期に渡って使用され続ける可能性も高い。

 脆弱性が放置されたまま運用され続けるIoT機器の増加、つまり“野良IoT”の常態化は、ネットワーク攻撃の踏み台を探している攻撃者にとって、渡りに船。ただ放置されて迷惑なだけでなく、容易にボットとして操られ、さらなる社会問題の引き金にすらなり得る。地上世界や宇宙空間おけるゴミ問題が、さらに悪質化してサイバー空間でも繰り返されようとしている――後藤氏はそう指摘する。

IoT機器を適切に保守していかなければ、ネット空間における環境問題――“サイバーデブリ”が深刻化しかねない

ドイツテレコムの契約者向けルーターが「Mirai」に狙われた! そのとき、どう対処した?

 IoTを踏み台にしたサイバー攻撃はすでに事例がある。2016年10月、米国のDNSサービスであるDynに対して大規模なDDoS攻撃が発生。約6時間にわたってサービスが不安定となった。PayPal、Twitter、Amazon、Netflixなどが影響を受けたという。

 このDDoS攻撃では、脆弱性のあるIoT機器が踏み台にされたとみられ、その数は10万台以上とも分析されている。攻撃に利用された「Mirai」と呼ばれるマルウェアの名は、この一件で広く知られることとなった。

 今回の講演で後藤氏が注目したのは、その翌月の2016年11月、ドイツテレコム(Deutsche Telekom)が契約者向けに提供しているルーター「Speedport」の一部モデルが狙われた事例だ。ドイツテレコムの全顧客の4%にあたる90万人が、サービス制限を最低でも2日間程度被った。ここでもやはりMiraiの亜種が用いられた。

マルウェア「Mirai」によるサイバー攻撃の例
2016年11月、ドイツテレコムの契約者向けルーターの脆弱性を狙った攻撃が発生した

 後藤氏によれば、NTT研究所が分析したドイツテレコムの事後対応は素晴らしかったという。まず、今回の攻撃が、ルーターの遠隔管理用プロトコル「TR-064」がWAN側からも利用できてしまう脆弱性を突いたものだったことから、これを防ぐためのフィルターをネットワーク上に設置し、攻撃者がルーターへアクセスできないようにした。

 さらに並行して、ルーターの製造元企業(台湾の企業という)に修正ファームウェアの作成を依頼。問題発生からわずか1日で該当機種に新ファームウェアの配布を開始した。その上で、影響の有無に関わらず「Speedport」ルーター全モデルを検証し、こちらでも新ファームウェアを配布するなどの対応を行った。

 「第一に、フィルターを作成して(不正な)通信を止められるということは、全ネットワークが上手くマネージされていることの証拠。そして1日で修正ファームウェアがリリースできたのは、(恐らくある程度の準備があったとはいえ)機器ベンダーとよい関係が築けていることを意味する。そして何より、ドイツテレコムでは数千万のルーターを顧客向けに提供していて、それらすべてでファームウェアの自動更新ができた。ネットワークオペレーターからすると『本当にここまでいくのか』と疑問もあるだろうが、(真偽はともかく)この事例にはIoTのセキュリティを考える上でのヒントが詰まっている。」

ドイツテレコムがとった対策
ドイツテレコムの対策から得られる教訓

IoTでは遠隔アップデートの必須化を

 では、サイバーデブリを産み出さないために、IoT機器のベンダーやその周辺企業はどのようなことができるのだろうか? まず後藤氏が指摘したのは、セキュリティガイドラインの整備。「Security by Design」の考え方を最優先とした製品設計があらゆる企業に浸透するよう、産官が連携して文書やルールを用意すべきだとした。

 中でも、後藤氏は「OTA(Over The Air)更新をすべてのIoT機器に」と強調する。無線でファームウェアを半自動更新するOTAが普及すれば、未知のサイバー攻撃に対する防御がグッと向上する。ただし課題も当然あり、OTA自体をよりセキュアな方式にするための技術はもちろん、車などに対してのOTAでは走行中に再起動されないようにするなど、更新のタイミングも考慮しなければ人命に関わる事故に繋がりかねない。

 加えて、業界側の意識変化を促すにも時間はかかる。PCをはじめとするIT業界では脆弱性発見から修正パッチをリリースするまでの流れが「当たり前」となったが、このレベルに達するまで10年かかったと後藤氏は振り返る。IoTのセキュリティリスクを、IT業界以外の関係者が理解するには、曲折も予想される。

 「私としては、すべてのIoT機器がOTA更新できるようなってほしいが、さすがに難しい。ならばせめて『事業用のIoT機器』だけでも普及を図りたい。(メンテが行き届きづらい)安価な機器については、寿命を設ける(キルタイマー機能を盛り込む)という発想もいるかもしれない。」

 一方、IoTの保守サービスの可能性はどうだろうか。事業系のIoTはともかく、コンシューマー向けの家電系IoTでは、有料の保守サービスは受け入れられづらいとみるのが普通だ。そこで後藤氏は、コンシューマー向けIoTはレンタルでの提供を前提とし、原則“non売り切り”とするのも1つの方向性だとした。

後藤氏が考える“サイバーデブリ”の発生抑止策

 IoTのセキュリティについては、なんらかの社会的制度も必要になってくるだろう。「IoTでは発売後20年に渡って製品をサポートし続けなければならない。それだけの体制・制度をどう作っていくべきなのか、考えなければ」。

 この分野の議論はまだまだ途上で、国が規制するのか、業界がルールを作るのか、はたまた業界・分野別に対策を講じるのか、結論はまだ出されていない。ただ日本では、自動車・医療・おもちゃなどの業界で安全対策を積み重ねてきた歴史があり、参考にできることが多いと後藤氏は指摘した。

講演のまとめ