世界を変える5G
特集
» 2019年01月25日 08時00分 公開

特集・ビジネスを変える5G:5GとIoTに潜むセキュリティリスク 全てが“つながる”ことの危険 (1/3)

かつては愉快犯や腕試しといった要素が強かったインターネットを通じたハッキングだが、今ではすっかり金銭目的にシフトした。そして、IoTの普及とともに到来する5Gの時代では、新たなセキュリティリスクと対策が求められることになる。

[鈴木淳也(Junya Suzuki),ITmedia]

 今日、インターネットを使う上でのセキュリティリスクといえば、多くの人が真っ先にPCやスマートフォン、そしてサーバへの悪意ある第三者による攻撃を思い浮かべるのではないだろうか。

 さまざまなケースがあるが、マルウェアなどを介してPCやスマートフォンといったデバイスへの侵入を果たし、そこでやりとりされる個人情報や企業機密を盗み出す行為の他、侵入したデバイスを踏み台に、さらに他のデバイスや企業内サーバへの侵入を試み、より多くの情報を盗み出したり、直接的な損害を与えたりするパターンが多い。

 実際、こうした攻撃により大規模な情報漏えいが発覚したケースは毎月のように報告されている。2010年以降に世界で起きた大量情報漏えい事件を振り返ってみても、数千万件や1億件程度の流出が毎年発生しており、過去最大規模となった米Yahoo!で30億件(2013年)、直近ではホテルチェーンの米Marriottで5億件(2018年)と、膨大な情報の流出は止まらない。

CSO 米CSOがまとめた「21世紀の18大情報漏えい事件」より。大規模な情報漏えい事件は続いている

 また攻撃者がハッキングを行う目的は、過去10〜15年ほどの間に大きく変質し、ほぼ金銭獲得にシフトしている点に注意する必要がある。かつては愉快犯や腕試しの要素が強かったものが、今や盗んだ情報の売却による利益獲得や産業スパイ、そしてランサムウェアのように情報を人質にして直接的に金銭を得る方法までさまざまだ。マルウェア対策も進んでいるが、同時に変種の数や登場するスピードも増し、イタチごっこは今後も続く。

 一方で、こうした流れとは異なる形で脅威となりつつあるのが「IoT(Internet of Things)」の世界でのセキュリティだ。

 昔ながらの言い方では組み込み機器のことだが、これらが直接インターネットに接続されるようになることで、新しい機能や役割を得る。外部との通信がない閉じた世界であれば、問題は比較的少ないだろう。しかしインターネットに接続されることで、従来は矢面に立っていたデバイスやサーバと同じ脅威にさらされることになるわけだ。

 特にマルウェアが日々進化するように、セキュリティ対策の世界も日々進化し、ソフトウェア技術の重要性が日増しに高まっている。従来は稼働して10年かそれ以上……という組み込み機器も珍しくなかったかもしれないが、IoTの世界、さらには間もなくやって来る5Gの時代ではまるで異なる。

 本稿では、IoTとそれを支える5G通信の時代におけるセキュリティ上の脅威や対策について考えてみたい。

増えつつあるIoTへの攻撃、全体の半数というデータも

 IoTへの攻撃は増えつつある。情報通信研究機構(NICT)が2018年2月に公開したデータによれば、IoT機器をターゲットにした攻撃は54%に達し、全体の半数を超えた。

 理由は2つ考えられる。1つはIoTとしてインターネット接続される機器の台数がPCなどに比べて多いこと、2つ目はソフトウェア的なアップデートが行われず、購入後そのままの状態で放置されている傾向が強いことだ。

 NICTの例では、Webカメラやルーターなどが挙げられているが、比較的最近話題になった「Mirai」というマルウェアでは監視カメラやデジタルビデオレコーダー(DVR)で広範囲に感染し、米国で大規模インターネット障害を引き起こしたことが知られている。

 Miraiは「ボットネット(Botnet)」と呼ばれるマルウェアに感染した機器同士で構成されるネットワークを構築し、命令者の特定のコマンドで一斉に動き出す。主に米国郵便公社(USPS)や国防総省(DoD)をターゲットとしたDDoS攻撃を一斉に仕掛け、結果として都市部を中心とした大規模なインターネット障害を引き起こした。

IoT security IoT機器をターゲットにした攻撃は増えつつある。NICT「NICTER観測レポート2017」を基に総務省が作成した「平成30年版 情報通信白書」より。

 個々の機器は単機能でネットワーク帯域をそれほど消費しないとしても、数の暴力でネットワークをまひさせることは十分に可能だ。特にIoTと呼ばれる機器では同じ型番の製品が数万や数十万単位で存在し、それらが同じセキュリティホールを抱えたままインターネット上にさらされていることになる。

 1つの機器への攻撃方法が見つかれば、同様にインターネット上を総なめする形で同じ攻撃が可能なわけで、より大規模なものになりがちだ。やや古いデータではあるが、英Gartnerが2017年2月に出した予測では、2020年までに200億台のIoTデバイスがネットワーク接続されることになるという(数字には諸説あり、300億台とも)。

 いずれにせよ、PCで1桁億台、スマートフォンなどモバイル機器で2桁億台がインターネット接続されているとすると、少なくともIoTの世界は2020年時点でその上の3桁億台に到達しており、ネットワーク全体に与えるインパクトも相応に大きい。一度接続された機器が長らく放置されることを考えれば、セキュリティ対策は急務といえる。

       1|2|3 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.

この記事が気に入ったら
ITmedia Mobile に「いいね!」しよう