第36回 IoT機器のセキュリティ対策はだれがやる？：日本型セキュリティの現実と理想（1/3 ページ）

IoTのセキュリティ対策の中でコンシューマー機器は急を要するが、対策は簡単には進まない。JNSAの「コンシューマ向けIoTセキュリティガイド」にある対策の担い手や視点から、コンシューマーIoT機器におけるセキュリティの方向性を解説する。

[武田一城，ITmedia]

「コンシューマ向けIoT機器」を注意すべき理由

　日本には、情報セキュリティの注意喚起や対策の普及を目指す組織が複数ある。筆者は、その1つの日本ネットワークセキュリティ協会（JNSA）という情報セキュリティ団体に参加している。JNSAは180社以上の会員企業で構成され、セキュリティ対策を事業としている企業で構成されたセキュリティ団体だ。

　なおJNSAは、その名の通りネットワークセキュリティを守る団体だが、ネットワークだけを守ってもセキュリティを高めるのは難しい時代となり、現在は情報セキュリティ全般に拡大している。JNSAがIoTセキュリティについて初めて言及した成果物が前回の記事で取り上げた「コンシューマ向けIoTセキュリティガイド」だ。ここではIoT機器の中で「コンシューマ向けIoT」の機器が最も危ないという問題提起と、脅威の分析を交えてその解決に必要なものを記載している。今回は筆者の所属するJNSAの観点からIoTのセキュリティを述べたい。

JNSA IoTセキュリティワーキンググループが作成した「コンシューマ向けIoTセキュリティガイド」

　JNSAは、このガイドの作成に約2年間を費やした。IoTの対象は非常に広範囲であることが原因だ。JNSAの視点から守るべき対象を選ぶ議論だけでも1年近くの時を費やした。

　IoTといえば、ドローンや自動運転などがすぐに頭に浮かぶが、テレビ録画用HDDのような家電や監視カメラなどもインターネットにつながり、世界で数十億台の機器がすでに接続されているといわれる。ミッションクリティカルな領域も同様で、核施設や大規模な化学工場なども今後はIoTの範囲に入ってくるだろう。これらがサイバー攻撃などで破壊されてしまうと、その被害は災害レベルになってしまう恐れがある。

　あらゆる機器がIoTの対象になり得る可能性を持っており、これだけ広範なIoTのセキュリティ対策は、いわば家庭の空き巣対策から国家レベルの危機管理対策まで含まれてしまう。全てを一つの分野として対策することは不可能であり、そのためJNSAは、コンシューマー向け機器を守ることが最も適しているという結論になった。

コンシューマ向けIoT機器の脆弱性

　このガイドの目的は、まだあまり世間に認識されていないコンシューマー向け機器の現状とその危険性を知ってもらうことにある。驚くことに、コンシューマー向け機器は有名な国産メーカーなどの製品でも最低限のセキュリティ対策ができていないものがあるという。その脆弱性での代表的なものはtelnet(port23/tcp)だ。

　telnetは、遠隔から機器を操作できる非常に便利な機能だが、インターネットが一般に普及する前に開発されたため、暗号化などのセキュリティ機能が実装されていない。この23番ポートはインターネット接続する場合、外部から機器にアクセスできないよう閉じるのが一般的なルールだ。しかし、telnetを使うコンシューマー向けIoT機器ではその対策がなされていない。

　telnetが使う23番ポートが空いていると、外部から自由にその機器へアクセスして、コントロールできてしまう。しかも、攻撃者は不特定多数の機器へポートスキャンをかけるだけで、簡単にtelnetを使って乗っ取れる機器を探すことができる。つまり、23番ポートが空いていることは、機器を操れることに等しいのだ。もし読者の家庭の機器がこの状態にあれば、あなたは購入した機器と電力を攻撃者へプレゼントしているようなものかもしれない。攻撃者にとってこれほど都合の良い獲物は、なかなかないのだ。