IoTデバイスを狙う攻撃者の視点　機器に対する防御の課題と対策

1. 新たな一歩を踏み出す季節

4月は新たなスタートの季節であり、多くの方が新しい環境や目標に向かって歩み始める時期である。この機会に、心機一転、新たな挑戦に向けて一歩を踏み出していただきたい。私事ではあるが、昨年7月に65歳になった。日本の法律では、65歳以上を高齢者とした上で、65歳から74歳までを前期高齢者、75歳以上を後期高齢者と定義している。高齢者の1人になったが、働き続けたい。4月から新しいスタートが切れるように頑張っている！！

2. 通信技術の発展がもたらしたIoTの進化

IoT（Internet of Things）とはモノとインターネットをつなぐ技術のことであり、日本語では「モノのインターネット」と訳される。家電では、エアコンの操作を遠隔で行え、帰宅する前に部屋を暖めておきたいとか、Webカメラでは、ペットの様子をスマートフォンで見たりするようなものである。IoT機器の便利な点は、インターネットにつながっていなかった様々なモノがインターネットに接続できるようになり、遠隔操作や遠隔監視ができるようになったことである。

IoT機器の進歩には、通信回線の進歩が大いに影響している。ダイヤルアップ接続から始まり、ISDN、ADSL、光回線、モバイル通信（3G、4G、5G）を体験してきたが、現在のスマートフォンでは5Gによる超高速通信と低遅延が実現できているため、初期のIoT利用とは全く違うものとして利用されている。

筆者も時々利用しているが、お天気Webカメラや道路交通Webカメラの映像は元々業務上必要な設備で監視用に作られたものだが、今やそれだけに留まらず生活に必要なサービスになっている。今後は６G環境の世界も見えている。私たちの生活や仕事、エンターテインメントの在り方を大きく変え、新しい可能性が広がることが期待でき、様々な場面での活用が見込まれる。

以前ICT-ISAC（※）の事務局にいたことがあり、IoT機器のセキュリティ対策向上を目指していた。サイバー攻撃の発生や、その被害を未然に防ぐためのプロジェクトに従事していた時の経験をもとに今日のコラムでは解説していきたい。
※ICT-ISAC： 情報通信技術（ICT）分野におけるサイバーセキュリティの脅威や脆弱性に関する情報を共有し、分析するための組織
一般社団法人ICT-ISAC / ICT-ISAC JAPAN

3. IoT機器の「ゾンビ化」? ボットネットとは

IoT機器のセキュリティ対策について考える時にまず触れておきたいのが「ボットネット」というキーワードである。IoTデバイスをマルウェアに感染させ、攻撃者が遠隔から制御できる状態にすることを「ボット化する」、「ゾンビIoT」と表現する。このようにして遠隔操作が可能になったIoTデバイスを数千台、数万台と束ね、それをネットワーク化したものが「ボットネット」だ。

ゾンビ化した感染デバイスは、ある日突然、遠隔操作され、DDoS（Distributed Denial of Service：分散型サービス拒否）攻撃の手先、つまり片棒を担がされてしまう。それらのスマートフォンや監視カメラなどは、一見するとまったく誤動作はなく、正常に機能しているようなことが多い。

4. 重要インフラを狙うIoTデバイスを利用したDDoS攻撃

2024年末にJALへのDDoS攻撃によって航空機の運航に障害が発生したことは記憶に新しい。その後も年始にかけて、いくつかの銀行に対するDDoS攻撃が行われ、インターネットバンキングの機能に障害が発生し、混乱を招いた。大規模なDDoS攻撃は、IoTデバイスを利用したものが多く、1990年代から存在している。古い攻撃手法だが現在でも非常に効果的であり、その手法は進化し続けている。

大きく変わった点として、初期のDDoS攻撃は数百Mbpsのトラフィックが一般的だったが、現在では数百Gbpsに達する攻撃もあるという。さらにクラウドサービスが標的になるケースも増加している。クラウドサービスは、多くのユーザに利用されており、攻撃者にとってサービスを一度に停止させ広範な影響を与えることができるため、標的になることが多いのだ。

今回の攻撃先として狙われたのは、いずれも公益性が高く、機能が一時的にでも停止すると、社会的、経済的、及び公共の安全に重大な影響を及ぼすことがある重要インフラと言われる企業だ。恐らく、重要インフラ企業においては、大きな被害が出ないようなDDoS対策は従来から存在しているはずだ。これらの組織が同時多発的に攻撃されたことに意味や目的があるのかは不明だが、攻撃された組織全てが甚大な被害を受けていたことは事実だ。

このようにDDoS攻撃が安易に行われ成功したせいで、このような攻撃が新しい攻撃手法として活発化することが懸念される。DDoS攻撃はランサムウェア攻撃ほどの凶悪性を直接備えたものではない。とはいえ、大規模かつ組織的な犯行であることから、各人が所有しているIoTについて最新の状態になっているか確認することが急務であるとも言える。

5. IoT製品を狙った攻撃と防御の難しさ

今や多くの場面で活用されるようになってきたIoT製品。家電や自動車、監視カメラなどがあるが、注目したいものはインターネット通信に必要なルータである。
家庭用ルータが一般的に普及したのは1990年代後半から2000年代初頭にかけてと言われている。家庭用ルータは複数のデバイスをインターネットに接続することを容易にし、Wi-Fiルータへと普及が進んだ。最近のルータは、高速通信やセキュリティ機能の向上、IoTデバイスの接続管理など、高度な機能を多く備えている。

しかし、ルータにはファームウェアやソフトウェアに脆弱性が存在し、それが攻撃者につけ込まれるリスクがある。特に、ファームウェアのアップデートが行われていない場合や、出荷時のデフォルト設定のまま、取り扱い説明書に記載されたパスワードを変更しないで使用されている場合、攻撃者にとって手っ取り早い標的となる。

PCやスマートフォンのセキュリティ対策については、定期的にOSのアップデートが行われるため、その時点で対応できていると認識できるが、IoT製品のセキュリティ対策については、いまひとつ実感が湧かないのが事実だ。我が家のテレビもインターネットに常時接続されており、たまにではあるが、メーカーからアップデートのお知らせが来る。この通知は非常にありがたい。

しかしIoT製品がインターネットにつながっているということを知ってはいても、PCやスマートフォンと同じようにセキュリティ対策を気にしているかというとそうでもないのが現状である。勝手な思い込みだが、「自分で対応しなくてもメーカーが何とかしてくれるだろう」とか、「何かあった時に対応すればいい」など、どこか他人事として捉えているのが正直なところではないだろうか(あくまでも個人的な考えだ)。

実は、そのような思い込みが非常に危険であり、IoTセキュリティ対策の難しい箇所なのである。
例えば、マンションなどに最初から設置されているLAN機器だが、ほとんどの住民は見たことも触ったこともない。個人で接続したWi-Fiルータの対応のみ行っている場合が多いのではないだろうか。あらゆるIoT機器のファームウェアのアップデートが難しいのはこのような理由が挙げられる。

攻撃者側の視点で言うと脆弱性のあるIoT機器を見つけることは比較的簡単で、脆弱性を攻撃する手法が広く共有されているため、技術的な敷居がかなり下がっている。

ダークウェブサイトではDDoS攻撃をサービス化した商売が行われている。よってIoTデバイスの脆弱性の有無については、国レベルで調査を急ぐべきとされているが、まずは個人レベルで利用しているWi-Fiルータ設定のためのパスワード変更を行ってほしい。これは個人ですぐにできる対策だ。また情シスは企業内に設置してあるWi-Fiルータに関する設定管理を徹底してほしい。また、定期的な脆弱性ニュースを見逃さないことが必要になってくる。

6. ～アイスブレイク～IoT時代に重要なPSIRTとは？

IoT機器の普及に伴い、PSIRT（Product Security Incident Response Team）が注目されるようになった。PSIRTは、自社が開発・提供したIoT機器やサービスのセキュリティ対策を担当するチームのことを言う。

製造業では生産ラインにIoTセンサーを組み込み、設備の稼働状況を監視・制御する。また、農業では、作物の栽培施設の温度や湿度の変化をIoTセンサーでモニタリングし、最適な環境を維持するのに活用されている。

このように、多くの分野でIoT機器やサービスが広く使われる中で、万が一、IoT機器やサービスに不具合が生じると、生産工場の稼働が停止するなど、重大な被害が発生するおそれがある。そのような事態を防ぐためには、 以前のコラム でも紹介した「セキュリティ・バイ・デザイン」の考え方が有効である。開発プロセスにおいてセキュリティ対策を強化していくことが、製品の信頼性と安全性を維持するために重要な役割を果たすことになる。

7. 安全な状態でIoTを維持するための継続的な対策

IoT製品の特徴は、一度購入すると使用期間が長いことである。特にPCやスマートフォンなどの機器と比べてライフサイクルが長い。そのため、当初のセキュリティ対策のまま使用し続けると、年々セキュリティリスクが高まるおそれがある。安全な状態を維持するためには、継続的な対策が必要である。

IoT製品を取り巻くリスクとして、「 SHODAN 」という検索エンジンが存在する。これは、IoT製品をはじめ、インターネットに接続される様々な機器を検索することができるエンジンである。適切なセキュリティ対策をせずにインターネットから参照可能な状態である製品は、この検索エンジンによって発見されるおそれがあり、悪意のある攻撃者が利用する手段ともなっている。

デフォルトのパスワードが変更されていないIoT機器は、攻撃者にとって簡単に侵入できるターゲットとなる。このようなデバイスがSHODANで発見されると、攻撃者はそれらを利用してボットネットを形成し、大規模なDDoS攻撃を仕掛けてくる。さらにIoT製品のメーカサイトやマニュアルなどから初期パスワードを入手され、不正アクセスやサイバー攻撃へ悪用されるおそれもある。監視カメラ、医療機器などのIoT製品が工場出荷時のパスワードのまま使用されていないか確認する作業をぜひ行ってほしい。

また、ネットワークに接続している認識がなく、知らずにインターネットにつながっていたということもあるかもしれない。個人の判断や設定が困難である場合は、専門家の判断を仰いだり、IoT製品の洗い出しを行う製品を導入したりすることも検討すべきである。

DDoS攻撃においてはIoT機器の脆弱性を狙ったものだけではなく、エンドポイントを踏み台にするケースも増えている。そのため、エンドポイントセキュリティを強化し、攻撃の踏み台となるリスクを低減することが必要である。

見逃されがちなのが、ファームウェアの定期更新やデフォルトパスワードの変更である。これらの取り組みを徹底するだけでも、ボットネット攻撃の大半を防ぐことができる。また、XDRやEDRを活用することで、エンドポイントレベルでの異常なトラフィックを検知し、迅速に対処することが可能となっている。

今すぐ対応を検討している情シスは、まず、以下の2点について考えてみるといいだろう。
① ボットネット化させない環境
② DDoS攻撃を受けた際の回避方法と早急な業務復旧の実現

何から進めていいかわからない、そもそも対応するリソースがないなど、セキュリティ対策に困った場合は一度ソフトクリエイトに問い合わせすることをお勧めする。

8. まとめ

生活の中で急速に活用されるようになったIoT製品であるが、「ネットワークにつながる端末である」という認識は薄くなりやすいかもしれない。しかし、この技術は今後も密接に関わるものであることは間違いない。その中でセキュリティの甘さを突いた攻撃が増加している。被害を防ぐためには、設定や管理を見直すことが重要である。

憶測にすぎないが、年末年始に行われたDDoS攻撃は今後の大規模攻撃の予行演習であったのかもしれない。DDoS攻撃は、企業や社会システムに重大な損失を与える凶悪な攻撃となり得る。個人も企業も今すぐにできる対策を講じ、サイバー攻撃への備えを強化することが求められる。

今回のコラムをもちまして、連載は終了いたします。これからも引き続き情報を発信してまいりますので、よろしくお願い申し上げます。皆様のますますのご発展をお祈り申し上げます。
長い間のご愛読、誠にありがとうございました。　　熱海 徹