第35回 いまIoTで”コンシューマー向け機器”が危ない理由：日本型セキュリティの現実と理想（2/3 ページ）

[武田一城，ITmedia]

コンシューマー向け機器の現状とは？

　コンシューマー向け機器は、家庭を含むさまざまなところでIoT化している。この機器は誰にも管理されず、放置されているということが大きな問題になっている。しかも、家庭のインターネット接続環境で強固なセキュリティ対策がなされていることは非常に少ない。しかし筆者は、このこと自体が大きな社会問題と訴えるつもりは全くない。

　インターネットユーザーが数億〜数十億人として、それらの全てユーザーの対策を強固にすべきなどといっても現実的ではないし、守るべきものが明確になっていない状態で何らかのセキュリティ対策をしても、迅速な障害復旧への影響や情報活用を阻害するリスクの方が高いということもあり得る。しかも、攻撃者にとってコンシューマー向け機器への攻撃がどれほどメリットあるものかということも判然としないのが現状である。

　ただ、コンシューマー向けの機器がなんらかの攻撃を受けている現実を裏付ける資料が幾つかある。その1つがJPCERTコーディネーションセンター（JPCERT/CC）が公開している以下の「インターネット定点観測レポート（2016年4〜6月）」だ。

Port23/TCP宛のパケット数の推移（出典：JPCERT コーディネーションセンター「インターネット定点観測レポート」）

　JPCERT/CCは、インターネットを介して発生する侵入やサービス妨害などの「コンピュータセキュリティインシデント」（インシデント）について、国内に関する報告の受け付け、対応の支援、発生状況の把握、手口の分析、再発防止のための対策の検討や助言などを技術的な立場から行う組織だ。ここが日本中のセキュリティインシデント全体をとりまとめているといっていいだろう。

　そのJPCERT/CCが公開しているこのレポートには、2016年4月〜6月に国外から国内への通信を通信ポート別に解析した結果がある（上図参照）。これを見ると、常にポート23番への通信がトップであり、5月から拡大していることが分かる。

　このポート23番は、標準設定の場合ならtelnetの通信だ。telnetは、手元にあるマシンと同じように遠隔のマシンを操作するための通信の仕組みであり、この仕組みを使うと、ネットワークを経由してそのマシンを操作できる非常に便利なものだ。しかしtelnetは、インターネットよりはるかに古い、コンピュータ草創期からある仕組みだ。そのため、インターネットでの利用を想定したものではなく、ログイン時にIDとパスワードが暗号化されずにネットワーク上を流れるという大きな欠点を抱えており、内部ネットワーク以外での利用には適していない。

　つまり、一般的な運用でインターネット越しにこのtelnetを利用することはまずありえない。このtelnetへの通信が非常に多いというのは、世界から国内にある機器への攻撃がtelnetへ集中的に向けられていることを示しているといえるだろう。

　外部からこのtelnetの操作ができるということは、その機器が悪意をもった第三者にもほぼ自由に操作されることになり、アクセスされる側としては死活問題になる。そのため、本来なんらかの接続制限や守るべき対策が施されてなくてはならない。