脆弱なIoT機器への「偵察行為」激化 正体不明のスキャンシステムが多数存在

[高橋睦美，ITmedia]

　「サイバー攻撃は増えているというけれど、重要なデータを持っているわけでもない、うちみたいに小さい会社が狙われるわけないでしょう？」──セキュリティ対策の必要性を説いたとき、こんな言葉が返ってくることは少なくありません。クレジットカード情報や個人情報の漏えいのように直接的な被害が生じない限り、なかなかピンと来ないのも事実でしょう。

　ですが実際には、個人情報や機密情報の有無にかかわらず、インターネットにつながっているだけで攻撃者にとっては利用価値があります。侵入した後、本来のターゲットである関連企業や取引先に侵入する足掛かりとして利用したり、bot化して第三者への攻撃に悪用したりと、使い道はいくらでもあるのです。これはPCやサーバといったITシステムだけでなく、ルーターや監視カメラをはじめとするIoT機器、組み込み機器にもいえることです。

　7月30〜31日に開催された「第4回 IoTセキュリティフォーラム」では、そんな危険性があらためて指摘されました。中でも横浜国立大学大学院の吉岡克成准教授（環境情報研究院／先端科学高等研究院）は、攻撃者による「偵察行為」が激化していると注意を呼び掛けています。偵察行為とは、安易なパスワードが設定されていたり、脆弱性が存在したりする状態の機器を探し出すことです。

IoT機器のスキャンシステムは、世の中に多数　中には「実態不明」のものも

　脆弱なIoT機器がいかに多く、インターネットから容易にアクセスできる状態に置かれているかを示すのにしばしば使われるのが、おなじみ「Shodan」です。「IoT機器のサーチエンジン」ともいわれるように、約300種類のポートに対し1週間に1回程度のペースでスキャンをかけ、脆弱なネットワークカメラや家電、あるいはビル制御システムなどを洗い出しています。

　米ミシガン大学の研究者らが立ち上げた「Censys」は、セキュリティに関する調査・研究を目的に開発されたもので、1000種類以上のポートに対してスキャンを行っています。目的はもちろん、中身もホワイトボックスとして公開されており、スキャンを拒否したい場合のオプトアウトの仕組みも用意していることが特徴です。

　他に、日本ではあまり知られていませんが「ZoomEye」というスキャンエンジンもあります。これは中国ベースのスキャンシステムで、Shodanと同様に、多くのIoT機器やデバイスの情報を収集しています。

　また「Insecam」は文字通りIPカメラに特化したもの。インターネットにつながれ、映像が閲覧できる状態のIPカメラを探し、国別、メーカー別にフィルターして、いままさにカメラに映っている画像を見ることができてしまいます。

　2019年2月、総務省が情報通信研究機構（NICT）、ICT-ISACとともに開始した「NOTICE」も、脆弱なIoT機器をチェックするスキャンシステムの一種と表現できるでしょう。

横浜国立大学大学院の吉岡克成准教授（環境情報研究院／先端科学高等研究院）

　吉岡准教授は「実は世の中にはこうしたシステムはたくさんある。多くはセキュリティ企業や公的機関によって運用されており、実態が分かるが、そうではなく実態が不明な探索システムもある」といいます。例えば、前述のZoomeyeやInsecamは、調査システムのバックエンドがどのように構成されているか公表していません。

　話はそれで終わりません。吉岡准教授の研究室でスキャンパケットを調べてみると、誰もがアクセスできるフロントエンドすらなく、限られた人だけが何らかの目的で使っている「未知」の探索システムが存在する可能性が高いことが分かったそうです。

　吉岡准教授は「明らかに人為的に、システマチックに、ShodanやCensysと同等の網羅性・継続性で探索を行っているシステムが大量にある」と指摘します。スキャンパケットを分類してみると、探索システムのトップ10のうち6つまでもが、公になっていない「未知のシステム」によるものと考えられるそうです。

　つまり、アクセスされる側はあまり意識していなくても、どこかの誰かが「脆弱で、悪用できる可能性のあるIoT機器はないか」を定期的にチェックしている可能性が高いというわけです。

　試しに吉岡研究室でおとり用IPカメラやおとりの遠隔監視システムを設置したところ、誰かに知らせたわけでもないのに多数のアクセスがあり、中にはツールによる機械的なアクセスだけでなく、あれこれ試行錯誤しながら「人」がアクセスを試みていると推測できるログもあったそうです。

　攻撃者が一般の人々にとって未知の探索システムから自動化されたスキャンを行って脆弱な機器を洗い出し、ある程度「候補」を絞り込んだ上で、人が詳細を確認して「有用か」「使えるか」どうかをチェックし、「何か情報が得られそうだ」と判断したら再びプログラムを用いて監視、悪用を試みているのではないか──吉岡准教授は、そんな仮説を立てています。

　こうした、ある種不気味な状況に対してできることといえば、「攻撃者よりも早く脆弱な機器を見つけ、攻撃者に悪用される前に知らせ、対策を進めることだ」と吉岡准教授は述べています。

「攻撃される側」と「する側」の非対称性を解消

NICTの井上大介氏（サイバーセキュリティ研究所 サイバーセキュリティ研究室室長）

　同じくイベントで講演を行ったNICTの井上大介氏（サイバーセキュリティ研究所 サイバーセキュリティ研究室室長）によると、スキャンシステムと人手による不正アクセスだけでなく、マルウェアによる機械的なアクセスも、決して楽観できる状態ではないそうです。

　「NOTICEではいろいろな組織と連携し、脆弱な状態にある機器を特定し、脆弱性があればベンダーに連絡して注意喚起につなげるといった活動を進めてきた。だが、18年以降もいくつか大規模な感染事例がある。それも、TCP/22、23、つまりSSHやTelnetといった汎用的なサービスを狙うのではなく、ポート8291や8181といったあまり見たことのないポートに対し、機器ごとに個別の脆弱性を狙うものが出てきている」（井上氏）

　さらに「VPN Filter」のように、IoT機器（ホームルーター）の背後にある別の機器をターゲットにマルウェアを配布する攻撃が登場していることにも触れました。

　このように、攻撃される側があまりリスクを意識していない一方、攻撃する側は定期的に、着実に探索を進め、その中から狙いを定めて攻撃を展開しているというのがIoTセキュリティを巡る状況です。ITシステムを巡るセキュリティ以上に、攻撃する側とされる側の間に「非対称性」があるといっても良さそうです。

　このギャップを埋めていくための努力として吉岡准教授は、Webを介したサイバー攻撃を検知すると自動的にブロックし、ユーザーに警告を表示するWebブラウザ向けの対策ソフトウェア「WarpDrive」のスマートフォンアプリ版の提供を検討しているそうです。より早く、より効果的にユーザーにリスクを認識してもらうため、こうした多角的な取り組みが必要だと考えさせられました。