第33回 ハニーポットが示した「野良IoT」の脅威日本型セキュリティの現実と理想(2/3 ページ)

» 2016年10月13日 08時00分 公開
[武田一城ITmedia]

攻撃者に悪用される「野良IoT」

 このように、一般的に利用されているさまざまな機器が既にサイバー攻撃の踏み台になっており、IoTを狙う脅威の温床のようになっている。ほとんどの人は、まさか家庭の機器が攻撃の対象になっていると夢にも思わないだろう。そのような油断こそ、攻撃者にとって格好の獲物ともいえる。

 攻撃者は、その機器に重要な情報があると思ってターゲットにしているわけではない。それらの機器を見つけては乗っ取り、そこから本当のターゲットに向けて攻撃を実行する踏み台にできればいいのだ。

 つまり攻撃者は、他人が所有する機器、他人が契約した電力と通信回線を利用して、自分の懐を傷めずに効率よく攻撃を遂行できる。これによって家庭にある(設定後に放置され誰にも管理されていない)機器が「野良IoT」と呼ばれる状態になってしまう。

 この野良IoTとは、多くの機器が気軽にインターネットにつなげられる時代となってしまう状態のことだ。これらの機器の設定自体は数分でできるものも多く、設定した本人もその機器がインターネットに接続している自体も忘れてしまい、その後ずっと放置されてしまう事象を指す。このように、持ち主が知らないうちに、(犯罪者でもある)攻撃者の片棒を担がされているのかもしれないのだ。

IoT機器の“野良化”

IoT機器が乗っ取られた時のリスク

 IoTにおけるセキュリティ対策とは、実はこのような機器(IoTデバイス)が攻撃の踏み台にされないようにすることが目的ではない。攻撃の踏み台にされてしまうことは、IoTのリスクとしては、まだまだ序の口だ。

 前回述べたように、IoTの最大の特徴とは、それまでPCやスマートフォンのディスプレイの向こう側にあるサイバー空間の出来事だったITが、身の回りの生活を含む現実世界と融合することだ。

 サイバー空間の中で起きるITの被害などは、実は意外と限定的である。誤解を恐れずに言えば、ITへのサイバー攻撃によって発生するほとんどの被害は、情報が漏えいするだけに過ぎない。もちろん、個人情報や申請前の特許情報などの機密情報、銀行口座の番号やパスワード情報――など、その情報の価値の大小には差があるだろう。それでも結局のところは、ほとんどが換金できる情報だから狙われているに過ぎない。いうなれば、ITにおけるサイバー攻撃の被害のほとんどは、お金で解決できるものだ。

 しかし、IoTのセキュリティの脅威はそれだけで終わらない。IoTはITのようにサイバー空間の中に限定されないからだ。守るべきものが換金可能な情報だけではなく、人命や取り返しのつかない文化遺産、場合によってはその国の将来など、金額に換算できないものにもおよぶ可能性がある。すなわちIoTのリスクとは、ITの事象だったサイバー攻撃の影響を現実世界に直接及ぼす状況を同時に作り出すことといえるだろう。

 その状況は、IoTの技術で自動運転が実現した未来で例えると分かりやすいかもしれない。自動運転中が実現した未来、あなたのマイカーが攻撃者に乗っ取られ、制御を奪われたとしよう。乗っ取ったのは身代金を要求するランサムウェアで、「金銭を支払わないとあなたを自動車ごと壁や崖にぶつける」と脅迫する。

 もし、あなた自身がその被害者になったら、どうするだろうか。あなたと同乗者である家族を守るために、犯罪に加担することになると分かっていても、大切な命のために身代金を支払うしかない。あなたが好むと好まざるにかかわらず、そうなってしまったら他に選択肢はないのだ。

 それに、攻撃者はターゲットを個人レベルに制限する理由は何もない。IoTによる便利な社会が実現すれば、重要インフラなどの大規模なシステムをターゲットにする攻撃が現在より拡大するだろう。核施設や有害物質を大量に保持する化学プラントが暴走したり、軍隊の無人戦闘機などが乗っ取られたりするような状況が発生するかもしれない。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ