「忘れ去られた機器」をどうするかーーIoT機器、これからの課題とは(その２)

引き続き、横浜国立大学の吉岡克成准教授にお話を伺いました。

Q：しばらくはこの状況が続くのでしょうか。

吉岡：Miraiは世界的には大規模感染しましたが、国内での感染はだいぶ限定されていました。大規模感染が見られた国々と比べると感染の割合は、二桁は少ない状況です。しかし、攻撃の傾向も変わってきています。telnetばかりを狙う第一世代から、機器固有の脆弱性を狙うものが2017年ごろから増えてきています。国内で流通しているルーターも攻撃対象になっており、人ごとではない状態です。

Q：皆が脅威を認識して対策が進んだから、巧妙化したのでしょうか？

吉岡：いえ、対策が進んだからではないと思います。セキュリティがゼロに近い状態の機器が狙われる傾向は今も続いているのですが、そうしたレベルの機器はすでにやられ尽くされている感があります。Miraiのソースコードが公開されて誰でも類似のマルウェアを作れるようになったこともあってtelnetを狙った攻撃は定常的に観測されていますが、それが飽和状態に近くなり、別の脆弱性を用いた攻撃を試し始めた状態ではないでしょうか。

Q：具体的にはどのような攻撃があったのでしょうか。

吉岡：2017年夏には、国内で多く利用されているモバイルルーターをターゲットにした攻撃があり、数万単位で感染機器が観測されました。同じ年の11月にはかなり古いルーターがやられる事例もあり、こちらも数万単位で攻撃が観測されました。Miraiですら国内では月に1000台程度しか観測していませんでしたので、この攻撃はその80倍です。こうした組み込みLinuxが動いている機器に加え、最近ではAndroidを搭載したIoT機器も攻撃対象になっています。また、これまでとは少し異なり、機器が再起動しても感染が続く、持続感染機能を持ったマルウェアも出現しており、調査も始めています。

Q：管理画面がターゲットになることもありますよね。

吉岡：安易な認証情報を悪用し、管理画面にログインして操作する手法もありますが、管理画面自身に脆弱性が存在することもあります。管理画面を動かしているのもWebサーバソフトウェアなので、その脆弱性を突く場合があります。

Q：となると「これだけやっておけばいい」というものではなく、さまざまな対策が必要そうですね。

吉岡：ただ、今のところ、古い脆弱性を含んだ古い機器がやられてしまうケースが割合として多いように思います。何年も前から知られていた、それこそ2014年、2015年頃に報告されていた脆弱性が今さらのように狙われています。PCと違って管理されていないので、古い脆弱性が残ったものがいまだにかなり存在しているからです。メーカーからするともう忘れてしまいたいような古い機器がやられてしまう傾向にあります。狙う側にしても、高いお金を出してわざわざゼロデイ脆弱性を買わなくても、既知の脆弱性で十分に対価が得られる状態ですから、そういう意味では、今の時点では新しい機種の方が狙われにくいのかなと思います。

Q：とはいえ、エンドユーザーに買い替えを強制するわけにもいきません。

吉岡：少なくとも、ちゃんとファームウェアを更新しておくだけでもだいぶ違うと思います。脅威が報告されればきちんとパッチを提供するメーカーも多く、こまめにチェックして更新しておけば、買い替えなくてもいいケースもあるかもしれません。ただ、更新の方法がけっこう難しいのは課題ですね。機種に合わせたものをダウンロードして適用するという作業を、自分でがんばってしなければいけないケースもあります。

Q：ユーザーにとってはけっこうな負担ですね。

吉岡：工場のようにクリティカルなところならば、きちんとチェックして脅威を排除するインセンティブが働くと思いますが、エンドユーザーの場合、やられたとしても、必ずしも自分たちに直接的な被害があるわけではないのが難しいところです。報告されている事例の大半は、ルーターを乗っ取られても外に攻撃をするものです。玄関から入ってきたけれど、その家を間借りして外に怪しい荷物を送りだしているようなもので、当人にとっては「何で対策をするんだっけ」という感じになっています。更新のために面倒くさい作業をして、自分たちに何か得なことがあるのかがユーザーにとって明確ではありません。

Q：基本的には踏み台化される被害が大半ですからね。

吉岡：実は、BBソフトサービスと一緒に研究を進めている理由の1つも、それが気になっているからです。私は、中には踏み台となった機器のユーザーに害を及ぼす脅威もあり得ると思っています。もしエンドユーザーに直接影響するような攻撃が出てくれば、対策の意識が進み、対処が進むかもしれません。既に、ルーターを乗っ取ってフィッシングサイトに誘導するような攻撃も出てきてはいますが、まだ技術的にずさんなものしか確認できていません。本当に脅威となり、「忘れ去られた機器を何とかしないと自分が損をする」という時代になれば、対応が進むかもしれませんが......今はまだはっきり見えておらず、過渡期なのかもしれません。

Q：そういうものが到来しない方が幸せかもしれませんが......。

吉岡：本当にそういった脅威が発生していないならばいいのですが、一番深刻なのは、脅威が発生しているのにそれが見えない、気付いていないという事態です。

Q：この先、対策の進展に向けて何か希望はありませんか？

吉岡：「危ない」と気付いてから本格的な対策が始まるわけですから、これから段階的に対策が進むでしょう。機器の重要度に応じて、例えば人命や安全に影響が及ぶようなものから対策が進むと思います。一方で、一台一台はそれほどでもなくても束になると脅威になるものについては、ネットワーク的に対応する必要があると思いますし、実際に国もそれに向けた調査を進めています。それから、個々の機器のセキュリティ向上には限度があるので、Secure IoTゲートウェイのような形で、ネットワークレベルで対応しようという話もでてきており、機器を強くするだけでなく、網で守る方法と合わせて対応することになるかなと思います。