第33回 ハニーポットが示した「野良IoT」の脅威:日本型セキュリティの現実と理想(2/3 ページ)
IoTは世の中を大きく変える可能性を持っているが、そのセキュリティ対策は部品レベルで考えなければならない課題だ。今回はIoTの具体的な脅威の実情について、横浜国立大学の研究をもとに考察する。
攻撃者に悪用される「野良IoT」
このように、一般的に利用されているさまざまな機器が既にサイバー攻撃の踏み台になっており、IoTを狙う脅威の温床のようになっている。ほとんどの人は、まさか家庭の機器が攻撃の対象になっていると夢にも思わないだろう。そのような油断こそ、攻撃者にとって格好の獲物ともいえる。
攻撃者は、その機器に重要な情報があると思ってターゲットにしているわけではない。それらの機器を見つけては乗っ取り、そこから本当のターゲットに向けて攻撃を実行する踏み台にできればいいのだ。
つまり攻撃者は、他人が所有する機器、他人が契約した電力と通信回線を利用して、自分の懐を傷めずに効率よく攻撃を遂行できる。これによって家庭にある(設定後に放置され誰にも管理されていない)機器が「野良IoT」と呼ばれる状態になってしまう。
この野良IoTとは、多くの機器が気軽にインターネットにつなげられる時代となってしまう状態のことだ。これらの機器の設定自体は数分でできるものも多く、設定した本人もその機器がインターネットに接続している自体も忘れてしまい、その後ずっと放置されてしまう事象を指す。このように、持ち主が知らないうちに、(犯罪者でもある)攻撃者の片棒を担がされているのかもしれないのだ。
IoT機器が乗っ取られた時のリスク
IoTにおけるセキュリティ対策とは、実はこのような機器(IoTデバイス)が攻撃の踏み台にされないようにすることが目的ではない。攻撃の踏み台にされてしまうことは、IoTのリスクとしては、まだまだ序の口だ。
前回述べたように、IoTの最大の特徴とは、それまでPCやスマートフォンのディスプレイの向こう側にあるサイバー空間の出来事だったITが、身の回りの生活を含む現実世界と融合することだ。
サイバー空間の中で起きるITの被害などは、実は意外と限定的である。誤解を恐れずに言えば、ITへのサイバー攻撃によって発生するほとんどの被害は、情報が漏えいするだけに過ぎない。もちろん、個人情報や申請前の特許情報などの機密情報、銀行口座の番号やパスワード情報――など、その情報の価値の大小には差があるだろう。それでも結局のところは、ほとんどが換金できる情報だから狙われているに過ぎない。いうなれば、ITにおけるサイバー攻撃の被害のほとんどは、お金で解決できるものだ。
しかし、IoTのセキュリティの脅威はそれだけで終わらない。IoTはITのようにサイバー空間の中に限定されないからだ。守るべきものが換金可能な情報だけではなく、人命や取り返しのつかない文化遺産、場合によってはその国の将来など、金額に換算できないものにもおよぶ可能性がある。すなわちIoTのリスクとは、ITの事象だったサイバー攻撃の影響を現実世界に直接及ぼす状況を同時に作り出すことといえるだろう。
その状況は、IoTの技術で自動運転が実現した未来で例えると分かりやすいかもしれない。自動運転中が実現した未来、あなたのマイカーが攻撃者に乗っ取られ、制御を奪われたとしよう。乗っ取ったのは身代金を要求するランサムウェアで、「金銭を支払わないとあなたを自動車ごと壁や崖にぶつける」と脅迫する。
もし、あなた自身がその被害者になったら、どうするだろうか。あなたと同乗者である家族を守るために、犯罪に加担することになると分かっていても、大切な命のために身代金を支払うしかない。あなたが好むと好まざるにかかわらず、そうなってしまったら他に選択肢はないのだ。
それに、攻撃者はターゲットを個人レベルに制限する理由は何もない。IoTによる便利な社会が実現すれば、重要インフラなどの大規模なシステムをターゲットにする攻撃が現在より拡大するだろう。核施設や有害物質を大量に保持する化学プラントが暴走したり、軍隊の無人戦闘機などが乗っ取られたりするような状況が発生するかもしれない。
関連記事
- 第32回 部品の数だけ必要なIoTのセキュリティ
「モノのインターネット」と称されるIoT(Internet of Things)が話題だが、その一方で「普及の鍵はセキュリティ」という話も良く聞くようになった。今回はIoTの将来で必ず問題になるとされるセキュリティの脅威について考えたい。 - 第31回 「ポケモンGO」まで来たITの進化とその先にあるIoTの衝撃
各種メディアをにぎわしているIoTは、日本も国を挙げて推進しようとしているほどの大きな潮流となりだした。今回から何度かにわたって、セキュリティはもちろん、このIoTの本質や課題、その将来性などを記す。まずはIoTの本質から考察したい。 - リオ五輪のDDoS攻撃から予想する東京五輪の影響 元凶はIoT機器のTelnetに
リオ五輪ではブラジル関連サイトやシステムに対するDDoS(分散型サービス妨害)攻撃が多発し、2020年の東京五輪では悪化が予想されるという。 - サイバー攻撃者に乗っ取られやすいIoT機器、パスワードのトップ10は?
IoT機器の脅威は、現状ではサイバー攻撃者に乗っ取られ、DoS(サービス妨害)攻撃に加担させられるケースが目立つという。攻撃者に乗っ取られやすい機器のIDとパスワードの上位10件の組み合わせは――。
Copyright © ITmedia, Inc. All Rights Reserved.