検査サイトで「サイバーパンデミック」に備えをーー新型コロナウイルス対応に学ぶIoTセキュリティ対策（その２）

引き続き、横浜国立大学の吉岡克成准教授にお話を伺いました。

新型コロナウイルス対策に学び、無症状感染機器の「検査サイト」で対策推進を

Q：ここまでのお話を伺うと、決して予断を許さない状況にあることは間違いなさそうですね。強いパスワードの設定、アップデートによる脆弱性修正といったエンドユーザー側の対策のほかに、何かできることはないでしょうか？

吉岡：観測結果を踏まえると、脆弱と思われる機器はまだ山のようにあります。そのことをどうユーザーに伝えるかがポイントだと思っています。

ご存じの通り、2019年から総務省が主導する「NOTICE」という取り組みによって、脆弱な機器への対策が行われています。これは、観測結果を基に脆弱と思われる機器の情報をISPに渡し、ISPがユーザーを特定して通知するという非常に手堅い方法です。この中で、最後のワンホップ、ISPからユーザーに伝える部分に難しさがあると思っています。たとえばメールで通知するにしても、ISPが把握しているメールアドレスをユーザーが使っていなかったり、届いてもユーザーが読まなかったり、あるいは読んだとしても怪しまれる......といったいろいろな理由があって注意喚起がなかなか伝わらず、実際に対応してくれるケースばかりではないという懸念があります。そこで、別のやり方がないかと考えているところです。

Q：別のやり方とはどういう仕組みでしょうか？

吉岡：これは、ユーザー側が「何かチェックしないといけない」という意識や意思を持つことが前提になるのですが、「感染検査サイト」のようなものを用意し、ユーザーが自らそこにアクセスして感染しているかどうか、脆弱な機器が動いていないかどうかを調べられる方法を用意したいと考えています。いつ来るか分からないISPからのメールに対応するのではなく、ユーザーが気付いたときに、能動的に「自分は大丈夫か」をチェックする、そういう情報提供の窓口を用意しておいた方がいいのではないかと考えています。

仕組みは簡単で、感染検査サイトにアクセスして「検査する」というボタンを押すと、そのアクセス元IPアドレスが、さまざまな観測網の情報の中に含まれていないかどうかを確認し、診断結果を伝えます。実際にマルウェアに感染していたり、感染の恐れがある、つまり脆弱性があるという結果になった場合には、その事実を伝えると共に、希望者にはメール経由でより詳しい情報を提供する仕組みです。最終的には、対応方法を詳しく説明するサイトに誘導することも考えています。

感染検査サイトでは同時に、「国内でマルウェアに感染しているIoT機器のIPアドレスはこのくらいあり、脆弱性を持っている機器はこのくらい存在する」という、全体の数字を示すグラフも表示したいと思っています。



Q：感染検査サイトにアクセスすると、動的に脆弱性スキャンが実行されるのでしょうか？

吉岡：オンデマンドでスキャンを行う方式もあり得ると思いますが、ファーストリリースではそれは行いません。複数の観測網から収集した直近一ヶ月程度の観測結果のデータを用いて、アクセスしてきたIPアドレスに関する観測結果を用いて判定結果を提供する形になります。観測データの集約やこのような仕組みの周知のために、いろいろな組織のサポートや協力が必要だと思っています。

Q：なぜこういう仕組みが必要だと考えたのでしょう？

吉岡：新型コロナウイルスでは、自覚症状のない感染者が活動し、他人に感染を広げていることが問題になっていますが、IoTのマルウェアも同じです。IoT機器がマルウェアに感染しても、ほとんど自覚症状がありません。機器自体は問題なく使えるので、やられていることに気付かないまま、ほかへの攻撃に使われています。そこにどうやって気付いてもらうかを考え、こういう仕組みを考えました。

ただこの仕組みも、PCR検査と同じで、いきなり始めてもうまくいかないでしょう。検査後、感染していることが分かった人に対してどう対応するかという部分も含めてしっかり準備しなくてはいけません。まず小規模に試してみてフィードバックをいただき、ある程度うまく回りそうだと分かれば大規模に展開したいなと思っています。

このような仕組みを整えて環境が整備できたら、SNSなど様々なチャネルを利用して「セキュリティチェックしてみませんか」と広く呼びかけることができれば、ユーザーさんに興味を持っていただけるのではないかと思っています。とはいえこれもいきなり実現するのは難しいでしょうから、徐々に実績を積んだ上で実現できればと考えています。

この先、サイバーパンデミック的なことが起こる可能性は十分にあると思います。そうなる前に、こういう仕組みが機能することを実証できればと考えています。



Q：2021年、IoTのセキュリティ情勢、サイバーセキュリティ情勢はどうなっていくでしょうか？

吉岡：リモートで作業をする機会が非常に増えてきていますから、やはりそこは今後も狙われるでしょう。

またもう1つ気になるのは、リモート監視やリモート制御を提供するサービスが狙われ、関連するインシデントが増えていることです。そもそもリモート監視サービスというのは、本来ならばあまり外部に見られたくない部分にアクセスできるよう強い権限を与えている割に、セキュリティ面でのマネジメントがあまり考慮されておらず、バランスが悪かったのかなと思います。

従って、こうしたサービスもまた侵害を受ける可能性はあるという認識を持って、いざというときのバックアップや対応体制を加味し、企業として適切に対応できる能力や体力を持ったサービス母体を選ばないといけないですよね。こうした部分がどれくらいしっかりしているかを見極めて、製品やサービスを選ぶ時代になっているのかなと思います。