検査サイトで「サイバーパンデミック」に備えをーー新型コロナウイルス対応に学ぶIoTセキュリティ対策（その１）

2020年は新型コロナウイルスの世界的な感染によって、日常生活も、社会生活も一変した一年となった。一言では言い表せないほど多くの犠牲があったが、この困難に立ち向かおうとする数々の努力も重ねられており、PCR検査体制の拡充やワクチン配布といった対策も進みつつある。

以前からわれわれに影響を与えてきたサイバー攻撃、特に身近なIoT機器を狙ったサイバー攻撃への対策を考える上で、新型コロナウイルス対策から学ぶことはできないだろうか。横浜国立大学大学院環境情報研究院/先端科学高等研究院准教授の吉岡克成准教授は、今一つのアイデアを考えているという。2020年のIoTセキュリティ動向を振り返るとともに、今後に向けた新しい取り組みについて伺った。

古いものから新しいものまで、さまざまなIoTの脆弱性が狙われる時代に

Q：2020年、IoTをターゲットにした攻撃の傾向に変化はありましたか？

吉岡准教授(以下吉岡)：2015年から2016年ごろにかけて「Mirai」を皮切りにIoTに感染するマルウェアが登場し、IoT機器もサイバー攻撃のターゲットになっていることが明らかになりました。今もその傾向は大きく変わっていませんが、一方で、より複雑に、多様になってきた傾向がはっきり見えています。

Q：多様化とは、具体的にはどのようなことでしょうか？

吉岡：昔はTelnetのように古いプログラムの脆弱性を狙っていましたが、今は、いろいろな機器のいろいろな脆弱性を狙うようになっています。

先日発表した論文でもまとめたのですが、われわれが観測しているハニーポットで収集したマルウェアの検体を解析すると、たとえば2018年に収集した検体から確認したExploit（脆弱性を悪用する攻撃コード）の数は7種類でしたが、2020年には30種類以上になっています。

もちろん、今もTelnetなど古いプログラムを狙った攻撃も多数行われていますが、それで乗っ取れるような脆弱な機器はほぼ乗っ取られており、ある意味打ち止めに近い状況です。そこで攻撃者はTelnetに限らずいろいろな脆弱性を見つけてはそれを攻撃するコードをマルウェアの中に取り入れ、感染を広げるようになっており、そのことがこの数字からも明らかだと思います。新型コロナウイルスに亜種が発生して感染が拡大するようにサイバーの世界でも感染の仕組みが変化することで急激に流行が広がることがあります。

Q：攻撃コードが狙う脆弱性も多様化しているのでしょうか？

吉岡：それもさまざまです。ずいぶん昔に発見された脆弱性からつい最近見つかったものまで、さまざまなものが使われています。

たとえば、2020年に収集したマルウェア検体で使われた攻撃コードがどの脆弱性を攻撃するものなのか調べてみると、2009年に公開された10年以上前の脆弱性を狙っていた一方で、2020年に公表された数ヶ月前に見つかったばかりの脆弱性も狙われていました。つまり攻撃者からすると、古かろうが新しかろうが、使えるものは何でも使ってどんどん感染を広げようとしていることがはっきり見えています。

これはWindowsを狙ったマルウェアと比べると特徴的なことだと思います。Windowsはどんどんアップデートされ、10年も経てばOS自体が違うことも多いので、古い脆弱性を狙う攻撃の効果は限定的です。これに対してIoT機器は、以前から言われているとおり、アップデートされることなく古いものがそのまま使われているケースが珍しくありません。こうした問題が残っているため、攻撃者は古い脆弱性から新しい脆弱性まで幅広く試してみて、効果があれば使う、そういう状況だと思います。

Q：それだけ、IoT機器のセキュリティ対策が不十分だということでしょうか。

吉岡：Windowsの世界はいろいろとセキュリティ機能が追加されてきて、過去のように、インターネットにつながっているだけでいきなり乗っ取られるタイプの脆弱性は減ってきています。なので、攻撃者も一手間かけて攻撃するようになっているんですが、IoTの世界はまだそこまでいっていません。セキュリティ意識が低いベンダーもまだ多いので、攻撃者にとって狙いやすい状況であることに変わりはありません。脆弱性報告件数を見ても、IoT関連のものが増えています。機器の数が多い上に、十分なセキュリティ対策が採られていない機器が多々あるため、穴がぼろぼろ見つかっています。攻撃者はその中でインパクトがありそうなものをピックアップして狙ってきているのではないかと思います。

今後の推移に注意が必要、持続感染性を持つIoTマルウェア

Q：昨年のインタビューでは、永続性を持ったマルウェアが登場してきたことにも言及されていました。2020年もその傾向は継続していますか？

吉岡：はい、このトレンドも続いています。これも先日の学会で発表したのですが、Qsnach、Hide and Seek、Hajime、VPN Filter、Momentumといった5、6種類のIoTマルウェアファミリーの中に、電源を消しても消えない持続感染型マルウェアが見つかっています。具体的にはわれわれが観測した約1万7000件のマルウェアのうち76件、全体の0.1％くらいで、電源を消しても消えない性質を持っている可能性があることがわかっています。まだ多くはありませんが、持続感染性というのは攻撃者にとって非常に有利に働くファクターですから、注意が必要だと考えています。

もう少し調査が必要ですが、持続感染型マルウェアがこれから増えていく可能性は十分あると思っています。さまざまなIoT機器のファームウェアを調べたところ、こうしたマルウェアの持続感染能力が有効となりえる機器が、ほかにもかなり存在しそうだということが分かってきたからです。あくまでわれわれのハニーポットで観測した範囲では0.1％でしたが、見えていない範囲ではもっと出回っている可能性もあると思います。

Q：新型コロナウイルス対策でテレワークが広がり、企業システムには大きな変化がありました。便乗したサイバー攻撃も増えています。IoTの世界は何か影響を受けているでしょうか？

吉岡：よく言われている通り、テレワークに必要なVPNサーバやルーターを狙った攻撃がいくつも見られます。これらは今までも狙われていなかったわけではありません。しかし利用者が急増し、中には突貫工事で用意したため設定が不適切だったり、最新ではない状態の機器を使っているケースがあります。その結果ターゲットが増え、攻撃も増えているのではないでしょうか。今、テレワーク環境の企業に似せたVPNのハニーポットも開発しており、完全な結果は出ていませんが、外部から一定数の不審なアクセスがあることは確認しています。

また、テレワークに使われるRDP（リモートデスクトッププロトコル）関連への攻撃も増えている印象があります。先日、NHKの「クローズアップ現代」に協力して、テレワークとセキュリティの関係について調査を行いましたが、残念ながら古くて脆弱性のあるRDPを使っている環境がごろごろあることが明らかになりました。中には、企業や大学であろうということまで推測できる環境もありました。いくつかの組織に問題をお伝えし、詳しく話を聞いてみると、セキュリティ専門の部署がなかったり、IT系のリソースも少ない中、リモートで働く環境を整えることに苦労されている組織が多いようです。

Q：一方でグローバルに見ると米中関係、中東関係など国家間の緊張も高まっています。地政学的な動きの影響はありますか？

吉岡：われわれの研究では、大規模に行われる攻撃を観測することがほとんどで個別の事象に紐づく活動を観測するのは難しいのですが、一部の観測結果は少し関係があるかもしれません。重要施設の機器のふりをしたハニーポットを構築して攻撃を観測していますが、ルーターやカメラといったIoT機器を狙うMiraiのようなマルウェアの場合、ハニーポットに対して一秒間に何十、何百回といったアクセスがあるのに対して、重要インフラのハニーポットの場合、侵入を試みてくるのはせいぜい月に1〜2件です。ただしそれは自動的な攻撃ではなく、高度な技術を持った人物による手動の偵察活動に見えます。現時点では、施設に影響を与えるような攻撃が発生している、ということではありませんが、有事に備えて、「どこにどのような施設があって、侵入方法はこうだ」といった事前調査と情報収集をしている主体が、一定数いるのかなという感触があります。