第32回 部品の数だけ必要なIoTのセキュリティ：日本型セキュリティの現実と理想（2/3 ページ）

[武田一城，ITmedia]

IoTのセキュリティ脅威は未来の話？

　このようなIoTのセキュリティリスクを筆者が強く認識するようになったのは、2014年12月に日本で開催された情報セキュリティの国際会議「CODE BLUE」であった。この場で海外のセキュリティ研究者が自動車を実際にハッキングし、外部から自由に動かしている動画などを紹介した。

　この自動車のハッキングについては、CODE BLUE開催より前の2013年7月に、米誌Forbesで発表され、有名なニュースになっていた。筆者も一応は認識していたが、そんなことも環境によってはできるかもしれないと、恥ずかしながらその程度の認識だったのだ。

日本初のセキュリティ国際会議「CODE BLUE」

　しかし、CODE BLUEで実際にそのハッキングを行った本人の講演を聴いて、初めてその脅威を実感した。筆者以外のセキュリティ関係者も多数来場していたので、この講演が日本のセキュリティ業界にIoTセキュリティの脅威を強く認識させる出来事になったかもしれない。

　それでも、「IoTは未来の環境だから、セキュリティ対策もこれからだ」と思われる方がいるだろう。だが、現実はそれほど甘くはない。実はIoTと呼ばれる前から、機器に対するサイバー攻撃事例が多く発生しており、別段珍しいことではなかった。調査会社などが定義しているIoTの市場規模は、現在日本だけで数兆円と試算されている。その定義が本当にIoTなのかは別にして、IoTとされるような機器やシステムは、相当数が身の回りに既に実現している。

　IoTへのサイバー攻撃事件の中でも最大のものは、イランの核施設を標的とした攻撃で有名な「Stuxnet」（スタックスネット）だろう。スタックスネットは、ウラン濃縮用遠心分離機を狙った攻撃のために作られたワームと呼ばれるマルウェアの一種だ。このワームの侵入で実際に、核施設にある数千台の遠心分離機は稼働不能に陥ったという。米誌ニューヨークタイムスの報道によると、スタックスネットは米国安全保障局（NSA）とイスラエル軍の共同開発だとされる。元NSA職員のエドワード・スノーデンも独誌デア・シュピーゲルのインタビューで同様の証言をしている。

　スタックスネット事件以外にも、2013年頃からPOS端末を狙うマルウェア事件なども複数報道されている。このマルウェアは感染先のPOS端末からクレジットカード情報を盗み出し、その情報を攻撃者に送信する。このマルウェアのターゲットの多くは、Windowsを組み込んだPOS端末だった。

　その理由は、POS端末が先述したような世界で最も利用されている汎用的なWindowsシステムの環境になり、攻撃しやすくなったからだ。汎用的な技術は、その構造を知る技術者が多いということであり、攻撃者は既存のWindowsの構成や脆弱性を突く攻撃技術をそのまま転用できる。当たり前だが、攻撃者側にもWindowsのような汎用技術に関する知見者が多い。狙いやすいのは当然だ。