第33回 ハニーポットが示した「野良IoT」の脅威:日本型セキュリティの現実と理想(3/3 ページ)
IoTは世の中を大きく変える可能性を持っているが、そのセキュリティ対策は部品レベルで考えなければならない課題だ。今回はIoTの具体的な脅威の実情について、横浜国立大学の研究をもとに考察する。
「IoTセキュリティ」とあおりすぎ?
ここまで見てきたように、IoTに対する脅威はすぐそこに迫っているようだが、幸いなことに、現時点ではサイバー攻撃が深刻な危機となる可能性は、まだそれほど大きくはない。
なぜなら、重要インフラを制御する仕組みは、それほど簡単に乗っ取れないからだ。そもそも特殊で強固なシステム構造をしていることから、非常に希少なノウハウに精通していないと動かすことはできない。少なくとも、遠隔地から内部構造を知らない攻撃者が自由自在に動かせるような脆弱性のある仕組みにはなっていないはずだ。
先に挙げた横浜国立大学の研究結果は、IoT機器のセキュリティ対策が不十分なことによって、核施設や大規模プラントなどの重要インフラがすぐに乗っ取られてしまうということを意味しているわけではない。このようなリスクは、例えば、人工知能(AI)による施設の自動運用のような仕組みが実現した将来には現実のものになるかもしれないが、はるか未来の話だろう。その頃には、リスクを乗り越える術とセキュリティ対策を組み合わせた実装方法が十分に検討され、実現されているはずだ。ただし、それが実現されなかった場合の脅威は、現在のそれとは比較にならない。
ハニーポットの示した「IoTが晒されている脅威」
IoTへのサイバー攻撃は、現時点ではそれほど恐ろしいものではない。その要因は、攻撃者とって目に見えるメリットがまだ少ないことだ。しかし、攻撃者がITシステムからの窃取した情報で金銭を得ることよりもIoTがもうかるとなれば、話は変わる。一気にターゲットをIoTへシフトさせるはずだ。だから、今すぐに大きな脅威にはならないからといって、油断していい理由にはならない。
横浜国立大学の研究は、このことを現時点で最も分かりやすく可視化してくれたのだ。放置されている機器は、それ1台では攻撃者にとってそれほど価値はないが、その機器の数が一定規模になると状況は大きく変わる。攻撃者が大量の機器から一カ所へ通信を集中させるだけで大規模なDDoS(分散型サービス妨害)攻撃になり得るからだ。さらに今後、IoTが本格的に普及すれば、それ以上の想定外の事件や事故が起こる可能性がますます拡大していくことも十分に予想できる。これからも現状の攻撃を定点観測していく重要性が増すだろう。
今回はIoTによる社会が実現された時のリスクとそのセキュリティ対策の重要性について述べた。次回は、2016年春頃から公益団体などが相次いで公開し始めたIoTセキュリティに関する「ガイドライン」「手引き」「指針」「ガイダンス」などの資料を紹介しつつ、この分野のセキュリティをどのように考えていけばよいかを示していきたい。
筆者からのお知らせ
2016年10月26日開催の日本ネットワークセキュリティ協会(JNSA)主催セミナーでは、本稿で紹介した研究を手掛ける横浜国立大学の吉岡克成准教授が基調講演に登壇され、研究の詳細をご紹介する。この講演を聴いていただければ現在のIoTの脅威の現状をより深く理解できるだろう。筆者も講演(およびパネルディスカッションのモデレーター)する予定だ。
武田一城(たけだ かずしろ) 株式会社日立ソリューションズ
1974年生まれ。セキュリティ分野を中心にマーケティングや事業立上げ、戦略立案などを担当。セキュリティの他にも学校ICTや内部不正など様々な分野で執筆や寄稿、講演を精力的に行っている。特定非営利活動法人「日本PostgreSQLユーザ会」理事。日本ネットワークセキュリティ協会のワーキンググループや情報処理推進機構の委員会活動、各種シンポジウムや研究会、勉強会などでの講演も勢力的に実施している。
- TechTarget連載:今、理解しておきたい「学校IT化の現実」/失敗しない「学校IT製品」の選び方
- 著書「内部不正対策 14の論点」(共著、JNSA/組織で働く人間が引き起こす不正・事項対応WG)
関連記事
- 第32回 部品の数だけ必要なIoTのセキュリティ
「モノのインターネット」と称されるIoT(Internet of Things)が話題だが、その一方で「普及の鍵はセキュリティ」という話も良く聞くようになった。今回はIoTの将来で必ず問題になるとされるセキュリティの脅威について考えたい。 - 第31回 「ポケモンGO」まで来たITの進化とその先にあるIoTの衝撃
各種メディアをにぎわしているIoTは、日本も国を挙げて推進しようとしているほどの大きな潮流となりだした。今回から何度かにわたって、セキュリティはもちろん、このIoTの本質や課題、その将来性などを記す。まずはIoTの本質から考察したい。 - リオ五輪のDDoS攻撃から予想する東京五輪の影響 元凶はIoT機器のTelnetに
リオ五輪ではブラジル関連サイトやシステムに対するDDoS(分散型サービス妨害)攻撃が多発し、2020年の東京五輪では悪化が予想されるという。 - サイバー攻撃者に乗っ取られやすいIoT機器、パスワードのトップ10は?
IoT機器の脅威は、現状ではサイバー攻撃者に乗っ取られ、DoS(サービス妨害)攻撃に加担させられるケースが目立つという。攻撃者に乗っ取られやすい機器のIDとパスワードの上位10件の組み合わせは――。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.