脅威にさらされるIoT家電をいかにして守るか パナソニック製品のサイバーセキュリティ対策を見てきた（2/3 ページ）

[大河原克行，ITmedia]

阿修羅×Threat Intelligence＝ASTIRA

　製品セキュリティセンターが開発したプラットフォームとして、Panasonic IoT Threat Intellgence「ASTIRA（アスティラ）」がある。IoT家電のセキュリティ強化に向けたプラットフォームと位置付けられ、IoTマルウェアなどの脅威情報を収集／解析／活用できる。

　また、この情報を元に、最新脅威の情報を開発工程に反映する他、開発段階で簡易自動診断を実施。出荷前にはサイバー空間で事前評価を行う出荷前リスク評価を実施することで、DevSecOpsの確立につなげている。

IoT家電のセキュリティ強化に向けたプラットフォームとなるASTIRA

ASTIRAの概要

　脅威情報の収集では、ASTIRAの観測拠点にパナソニック製IoT家電を設置し、ルーターなどを経由せずに直接インターネットに接続して、わざとセキュリティを甘くし、無防備な状態で設置する。そうすることで、どんな攻撃が世界中から行われているのか、どのようなIoTマルウェアが広がっているのかといったことを観測し、これらのデータを元に静的解析、動的解析によって分析できる。

　パナソニックホールディングス 技術部門 製品セキュリティセンター製品セキュリティグローバル戦略部戦略課 エキスパートの大澤祐樹氏は、「ハニーポットにIoT家電の現物を使用し、攻撃の情報を収集する。同時に、一般的なサーバを用いたハニーポットも用意し、広域に情報を収集している。さらに、事業会社と緊密に連携しながら、まだ一般には公開していない開発中の製品に対する攻撃についても、事前に情報を収集できる。パナソニックグループが独自に構築したプラットフォームであることから、こういった観測も可能になっている。これは、セキュリティベンダーにはできない部分である」とした。

パナソニック ホールディングス 技術部門　製品セキュリティセンター製品セキュリティグローバル戦略部戦略課 エキスパート 大澤祐樹氏

　また、日本と台湾に規模が大きい観測拠点を設置し、米国／ドイツ／インド／シンガポールにも観測拠点を持っている。観測に使用する機器では、TVやレコーダー、冷蔵庫、洗濯機、ネットワークカメラ、ドアホン、スマートスピーカーなどがある。

　同社によると、2017年11月以降、2025年3月までに観測した攻撃総数は31億件以上で、収集したマルウェアの数は11万8930件に及ぶ。収集したIoTマルウェアの数は3万2325件に達している。

　ASTIRAの名称は、 TI（Threat Intelligence）と仏教の守護神でもある阿修羅（ASHURA）からつけられており、日夜、各方向から得られる数多くの情報を捉えて、解析し、サイバー攻撃に立ち向かうという意味を込めているという。

　パナソニック ホールディングスの大澤氏は、「サイバー攻撃数は年々増加の一途を辿っており、中でもIoT機器を狙った攻撃が最も多く、全体の3分の1を占めている。攻撃者はIoTマルウェアを感染させ、家電やネットワークカメラ、ルーターなどのIoT機器を乗っ取り、それを踏み台にしてサイバー攻撃を仕掛ける。利用者はIoTマルウェアに感染した時点では被害者であったものが、知らない間に加害者の立場になってしまうことに気をつけなくてはならない」と警鐘を鳴らす。

　NOTiCEの調査によると、2025年5月のマルウェアに感染したIoT機器の検知数は1日最大1034件で、リフレクション攻撃の踏み台にされうるIoT機器は1万5880件に達している。

　また、脆弱性が公表されると2日後には脆弱性を狙ったマルウェアが出回る状況になっていることも指摘する。

　製品セキュリティにおける課題は、製品の出荷後に、セキュリティ強度が劣化するという点だ。製品の出荷時点では、脆弱性診断を行い、高い防御水準の状態にあるが、出荷後はセキュリティアップデートが難しいのが現状であり、攻撃手法の進化、IoTマルウェアの増加などにより、危険な状況の中で利用しつづけなくてはいけないのが現状だ。

製品出荷後にセキュリティ強度が下がってしまう課題が付きまとう

　「家電のような個人向け製品は、出荷後はそのまま使い続けることが多く、メーカーや販売店からは、ファームウェアの更新やセキュリティアップデートが行われているのかをチェックすることもできない。また、EOL（End of Life）を迎えると、メーカー側から対策を取るのはさらに難しくなる」と指摘する。

　ノートPCやスマホなどの高い機能を持つデバイスは、セキュリティソフトを使用すればいいが、白物家電の場合には、それを動作させるには機能が低かったり、TVの場合にも高画質化などを図るために最低限のメモリなどを内蔵しているにすぎなかったりするなど、セキュリティソフトを稼働させることができない状況にある。

　もちろん、セキュリティのために機能を強化するという考え方もあるが、価格競争が激しい中で、コストの増加につながるサイバーセキュリティ強化には踏み出しにくいのが実態だ。

　だが、セキュリティ対策ができにくいからといって、パナソニックブランドの家電や機器が乗っ取られ、情報が漏えいしたり、他者の攻撃に加担したりすることは防がなくてはならない。

　ASTIRAは、こういった製品出荷後のセキュリティ強度の経年劣化に対して、ライフサイクル全般で製品セキュリティを継続的にアップデートすることにも取り組み始めている。

　ASTIRAで収集／分析し、脅威の状況を把握すると共に可視化し、この知見やノウハウを製品対策につなげ、今後はAIの活用についても加速していくことになるという。

　具体的には、製品出荷後にASTIRAで収集／分析したデータを元にして、脅威予兆により先手で対応したり、出荷後の定期診断により、セキュリティを確保。新たな防御機能を提供したりすることで乗っ取られない家電を実現するという。