ニュース

これ以上、新たな「ネットの負の遺産」を生み出さない～バッファローが「JC-STAR」取得の狙いを説明

山田貞幸

2025年5月28日 08:30

左から、横浜国立大学大学院環境情報研究院吉岡克成教授、経済産業省商務情報政策局サイバーセキュリティ課武尾伸隆課長、株式会社バッファロー富山強執行役員

　株式会社バッファローは5月27日、IoT製品に対するセキュリティ適合性評価制度「JC-STAR」（セキュリティ要件適合評価及びラベリング制度）に関するプレスセミナーを開催した。

　JC-STARは、経済産業省と独立行政法人情報処理推進機構（IPA）が2025年3月に運用を開始した、IoT製品に関するセキュリティ要件とラベリングの新制度。5月21日に、4段階の適合基準のうち「★1」の適合ラベルの交付を開始しており、バッファローでは同日に、21シリーズ79型番の同社製品で適合ラベルを取得している。

バッファローのJC-STAR「★1」適合ラベル取得製品

約10年の間に高度化・深刻化したIoT機器へのサイバー攻撃

横浜国立大学大学院環境情報研究院吉岡克成教授

　はじめに、「IoTセキュリティの過去～現在と課題」として、横浜国立大学の吉岡克成教授（大学院環境情報研究院）が解説を行った。

　吉岡教授は、IoT機器へのサイバー攻撃が顕在化した2014年から現在までを3段階に分け、「勃興期」「拡散・多様化期」「高度化・深刻化期」とした。勃興期は2014年～2016年。IoT機器に対する攻撃が観測されるようになり、横浜国立大学では攻撃の観測や捕獲・分析を開始する。そのような中、IoTを対象とするマルウェアとして最も広く知られ、現在でも多くの亜種が攻撃に用いられている「Mirai」が登場して、2016年後半から攻撃が急増したという。

　「Miraiは壮大な社会実験を行った」と、吉岡教授は語った。セキュリティの脆弱なIoTが多く使われていることは従来から知られていたが、それらを実際に、世界的な規模で乗っ取ってみせたのがMiraiであり、IoT機器の悪用により、社会に大きな影響を与えることが可能であると、攻撃者が「『気付き』を得てしまった」という。

2014年からハニーポットによる攻撃の観測やマルウェアの捕獲・分析を実施

当時の大量感染の原因となったのはTelnetだった

Miraiが登場し、2016年後半から攻撃が急増した

Miraiはいわば壮大な社会実験であり、攻撃者が「気付き」を得てしまった

　2017～2020年ごろが、拡散・多様化期となる。日本では、これ以前の攻撃についてはまだ「対岸の火事」の感覚だったが、2017年に入り、国内で流通するモバイルルーターの大量感染が確認されるなどの事例が発生。さまざまな脆弱性を攻撃するMirai亜種が登場して、攻撃が多様化する。そうした中で狙われる脆弱性の8割は、ルーターのものだったという。

国内で流通するモバイルルーターの大量感染。SSH経由で行われた

マイクロコントローラーチップ用SDKの脆弱性を突いた大量攻撃の事例もあった

IoTマルウェアの分析により発見された多様な脆弱性攻撃昨日

年を追うごとに攻撃対象となる脆弱性の種類が増えた。脆弱性の8割はルーターのもの

　期間の重複があるが、2018年ごろ～現在までが高度化・深刻化期とされる。旧来のIoTマルウェアは一度電源を切れば消滅したが、完全に消滅しないものが観測されるなど、攻撃が高度化していく。

　また、国家を背景とすると言われるサイバー攻撃グループの登場、攻撃の量的な増加、重要社会インフラを狙った攻撃など、さまざまな面で深刻化もしていく。ビジネスとして、報酬を受け取ってサイバー攻撃を行うグループも登場している。

機器の電源を切り、IoTマルウェアが消滅するかの実験

完全に消滅しないIoTマルウェアが観測された

深刻化するIoT機器へのサイバー攻撃

JC-STARは今後登場するIoT機器のための「予防的対策」

　このようなIoT機器を取り巻くサイバー攻撃／サイバー脅威に対して、2通りの対策があると、吉岡教授は説明した。

　1つは、すでに使われている機器を対象に行われる「発見的対策」。総務省らが取り組む「NOTICE」のような感染機器の検出、脆弱性の発見・対策・注意喚起などが、これにあたる。

　もう1つは、これから世に出る機器を対象とした「予防的対策」。セキュリティに関するガイドラインや技術基準の策定、標準化、ラベリング制度などで、安全性の高い機器が世に出て、流通するように環境を整備する。JC-STARも、予防的対策の一種だ。

発見的対策と予防的対策

世界で行われてきた予防的対策の取り組み

　セキュリティ基準などの策定が不十分だった時代の機器など、脆弱な機器が世界中に提供され、悪用され続けている状況を、インターネットにおける負の遺産という意味で「サイバーデブリ」と、吉岡教授は表現した。

　そして、JC-STARのような予防的対策を「新たなサイバーデブリを生み出さないための活動」と位置付けた。今後もIoT機器に対する攻撃は継続すると予測され、予断は許されないとしながらも、既存の大きなデブリは徐々に取り除かれつつあり、新たなデブリを生み出さないための活動も実を結びつつあって、発見的対策と予防的対策を今後も両輪として推進することが重要であるとした。

JC-STARなど予防的対策は「サイバーデブリ」を新たに生み出さないための取り組み

世界的に進む「セキュア・バイ・デザイン」の要請

経済産業省商務情報政策局サイバーセキュリティ課武尾伸隆課長

　続いて、JC-STARを推進する経済産業省から、武尾伸隆課長（商務情報政策局サイバーセキュリティ課）がJC-STARの概要を説明した。

　本題に入る前に、世界のサイバーセキュリティ政策の動向を紹介した武尾課長は、特に「セキュア・バイ・デザイン」（企画・設計段階からセキュリティが確保されていること）の要請と、重要インフラ事業者に対するインシデント報告などの義務化が世界的に進められていると強調。これを踏まえたうえで、経済産業省では、産業界のサイバーセキュリティ向上を目指し、以下の4点に特に重点的に取り組んでいるとした。

サプライチェーン全体での対策強化
セキュア・バイ・デザイン
政府全体での対応力強化
サイバーセキュリティ供給能力の強化

　JC-STARは、この中でセキュア・バイ・デザインの取り組みと位置づけられる。

世界のサイバーセキュリティ政策の動向

経済産業省が取り組むサイバーセキュリティ政策

「★2」以上の基準策定はこれから、国際的な連携も協議中

　JC-STARの4段階の適合基準のうち、現在基準の公開・申請受付・ラベル交付を行っているのは「★1」のみだが、「★2」以上についてはネットワークカメラと通信機器を対象にワーキングループ（WG）で基準策定が進行で、年度内の開始を予定している。

JC-STARの概要。各種IoT機器を対象に適合基準を定め、ラベルを交付。適合基準は機器のカテゴリーごとに「★1」～「★4」の4段階があり、各カテゴリーの「★2」以上の具体的な基準については、現在検討が進められている

　「★3」以上の適合基準は重要インフラ企業や地方公共団体、政府機関などでの採用も想定したものとなり、政府機関や重要インフラ企業に向けた機器選定やサイバーセキュリティのガイドラインに、JC-STARに関係した方針を盛り込む取り組みも、同時に行われている。なお、「★2」以下の適合基準はメーカー自身の宣言によるのに対し、「★3」以上は第三者機関による認証が必要となる。

　JC-STAR適合ラベル取得製品の情報はIPAのウェブサイト上で公開しており、「★1」ラベルの交付を開始した5月21日の時点で、14社の約500製品の情報が公開中。製品に交付されたラベルのQRコードを読み取ることで、対象製品の情報を掲載したウェブページにアクセスし、詳細を確認できる。

ウェブサイト上で公開されている適合ラベル取得製品の情報。ラベルのQRコードからアクセスできる

　また、諸外国でも検討・策定が進んでいるIoT製品のセキュリティラベリング制度と連携が図られ、相互承認に向けた対話が行われている。このことも、注目すべき取り組みだ。

海外のIoT機器向けセキュリティラベリング制度とJC-STARとの比較

JC-STARの今後のスケジュール

ユーザーの声に応え、「目に見えるかたちでの安心の提供を」

株式会社バッファロー富山強執行役員

　最後に、バッファローの富山強執行役員が登壇し、同社の取り組みや適合ラベル取得製品について紹介した。

　今年、創立50周年となる同社は、「エンジニアリング・サイクル」をコアコンピタンスとして、ハードウェアに加え、サービス・ソリューションの提供にも取り組んできた。そうした中で、ユーザーからのセキュリティへの要望は多く、同社がランサムウェア対策について行ったユーザーでは、約9割が対策の必要性を感じると回答したという。

　JC-STARの適合ラベル取得は、このような声に応える取り組みの一環と位置づけられる。同社が「★1」適合ラベルを取得した21シリーズ79型番のうち、20シリーズ76型番が法人向け、1シリーズ3型番が家庭向けだが、適合ラベルを取得した法人向け製品は、これまで（適合ラベル取得以前）にも多くの政府機関や地方公共団体、重要インフラ事業者で導入されている。