いま知っておくべきIoTセキュリティの実情
2020年のオリンピック開催を控えた日本ではIoTセキュリティがこれまで以上に重要性を増しています。政府も本腰を入れ始めており、民間レベルでも対応が急がれる昨今、いま知っておくべきIoTセキュリティの実情をお伝えします。
国内でも急速に進むIoTセキュリティ 2019年2月20日、総務省および国立研究開発法人情報通信研究機構(NICT)は、サイバー攻撃に悪用されるおそれのある IoT 機器を調査し、対象機器のユーザーへ注意喚起を行うプロジェクト「NOTICE(National Operation Towards IoT Clean Environment)」の開始を発表しました。
日本国内で確認できる約2億台の IoT 機器を対象とし、初期設定のパスワードのままになっているなど、セキュリティの脆弱性が残っていないかを確かめる、世界でも例のない調査です。新聞各紙はこれを「五輪前サイバー対策」として大きく報道しました。
オリンピックを狙うサイバー攻撃
オリンピックに限らず世界規模のイベントは、サイバー犯罪者達にとっては稼ぎ時です。偽のチケット販売サイトに始まり、関係者を騙る詐欺、サイトのハッキングなど、その手法も影響も様々です。 オリンピックについても、このところ攻撃が激化しており、2016年のリオ大会では公式および多くの関連サイトに対するDDoS 攻撃や Web アプリケーションへの攻撃を検知し、一部の Web サイトからの情報窃取が発生しました。
2018年の平昌大会では、開会式1 時間前から始まった攻撃により、一時は入場チケットの発券ができないなど、大会の運営を脅かす事態になりました。攻撃は年を追う毎に高度化しており、平昌大会で使われたのはサプライチェーン攻撃と拡散型ウイルスの組み合わせだったということです。
脆弱性の残る IoT 機器
現代のサイバー攻撃は、ほとんどが最初にエンドポイントを狙います。これまでエンドポイントといえば PC やスマホでしたが、今では IoT 機器の方が数が多い上、相対的にセキュリティが脆弱なことから、標的とされることが多くなっています。
以前は IoT 機器の開発時にセキュリティを意識することが少なかったため、機器に管理者用のパスワードが設定されていなかったり、されていてもすべて同じパスワードだったりするケースがありました。さらに利用する側も、パスワードを新たに設定したり変更したりせずに使用するケースが多かったため、脆弱な機器が蔓延してしまったのです。
IPA が 2017 年に IoT 機器開発者に対して行った調査でも、「製品開発段階でのセキュリティ方針、基準の有無」について「ある」と回答した割合は 35.6%に留まるなど、改善がなかなか進まないことが浮き彫りになっています。
こういった状況を放置すると、企業内に設置された IoT機器から内部ネットワークに侵入されたり、DDoS 攻撃の踏み台に使われたりします。セキュリティに予算をかけられる大企業では対策が進んでいるところが多いのですが、取引先企業や社員の自宅に侵入されて、そこから感染が広がるサプライチェーン攻撃も増加しており、安心はできません。
総務省の危機感 総務省は、情報セキュリティ対策の知識を国民にわかりやすく提供するため、2003年度より「国民のための情報セキュリティサイト」を運営しており、その中で「安全なパスワード管理」として推測されにくい安全なパスワードの設定を呼びかけてきました。
また、2016年には経産省と共同で「IoT セキュリティガイドライン」を策定し、IoT 機器の使用にあたっては、ID やパスワードの設定を適切に行うよう求めています。今回の「NOTICE」は、それをさらに推し進めた対策です。改善がなかなか進まない状況に対する「実力行使」ということもできます。
脆弱性が確認された機器の 所有者に対して注意喚起
NOTICE の調査を受け、2019年6 月中旬からは、脆弱性が確認された機器の所有者に対して注意喚起を行う取り組みが始まりました。
NOTICE では日本国内の 2 億個の IP アドレスのうち 9,000万アドレスについて調査を行い、ID・パスワードが入力可能であったものが3~4万件、最終的に注意喚起を行ったのは延べ 147 件と、印象としては少ない結果となりました。一安心と言えますが、これはあくまでもリスクが高いと言われる 100 種類程度の ID とパスワードの組み合わせを確認したに過ぎません。総務省も「現時点では(注意喚起の)数は少ない」としつつも、セキュリティ対策の徹底は引き続き必要だと述べています。
ハッカーが通常行うブルートフォース(辞書などを使った総当たり)攻撃の規模はこの比ではなく、今回の結果がリスクの実態を正確に表しているかどうかには議論の余地があります。総務省が言うように、これはあくまでも「始まり」と捉えるべきでしょう。
2019年6 月にはこの他に、総務省のサイバーセキュリティ統括官が、IoT 機器にセキュリティ機能の搭載を義務付ける新技術基準や、経営者のセキュリティ対策への投資インセンティブを高めるための情報開示の促進などの取り組みを進めると発言するなど、IoT セキュリティを巡るいろいろな動きが報じられました。民間団体である JPCERTコーディネーションセンターからも IoT セキュリティチェックリストが公表されています。
これらの動きは、大会を控え「これからが本番」という意識が高まってきたためと考えられます。IoT セキュリティは、もちろんオリンピックのためだけのものではありません。
しかし、TOKYO 2020 という直近のイベントを目標に、待ったなしの覚悟で IoT セキュリティを見直し、強化していくことは非常に重要であり、取り組みの成否が将来安全な IoT 環境を構築できるかを左右するのではないでしょうか。
IoTセキュリティならミツイワにおまかせください。
ICTシステムの構築や電子デバイス製品も手掛けるミツイワなら、お客様のニーズに応じて最適かつ総合的なセキュリティ対策をご提案できます。既存製品へのセキュリティ対策から、新規製品の企画段階でのご提案までお気軽にご相談ください。
国内でも急速に進むIoTセキュリティ 2019年2月20日、総務省および国立研究開発法人情報通信研究機構(NICT)は、サイバー攻撃に悪用されるおそれのある IoT 機器を調査し、対象機器のユーザーへ注意喚起を行うプロジェクト「NOTICE(National Operation Towards IoT Clean Environment)」の開始を発表しました。
日本国内で確認できる約2億台の IoT 機器を対象とし、初期設定のパスワードのままになっているなど、セキュリティの脆弱性が残っていないかを確かめる、世界でも例のない調査です。新聞各紙はこれを「五輪前サイバー対策」として大きく報道しました。
なぜ IoT 機器が狙われるのか
オリンピックに限らず世界規模のイベントは、サイバー犯罪者達にとっては稼ぎ時です。偽のチケット販売サイトに始まり、関係者を騙る詐欺、サイトのハッキングなど、その手法も影響も様々です。 オリンピックについても、このところ攻撃が激化しており、2016年のリオ大会では公式および多くの関連サイトに対するDDoS 攻撃や Web アプリケーションへの攻撃を検知し、一部の Web サイトからの情報窃取が発生しました。
2018年の平昌大会では、開会式1 時間前から始まった攻撃により、一時は入場チケットの発券ができないなど、大会の運営を脅かす事態になりました。攻撃は年を追う毎に高度化しており、平昌大会で使われたのはサプライチェーン攻撃と拡散型ウイルスの組み合わせだったということです。
脆弱性の残る IoT 機器
現代のサイバー攻撃は、ほとんどが最初にエンドポイントを狙います。これまでエンドポイントといえば PC やスマホでしたが、今では IoT 機器の方が数が多い上、相対的にセキュリティが脆弱なことから、標的とされることが多くなっています。
以前は IoT 機器の開発時にセキュリティを意識することが少なかったため、機器に管理者用のパスワードが設定されていなかったり、されていてもすべて同じパスワードだったりするケースがありました。さらに利用する側も、パスワードを新たに設定したり変更したりせずに使用するケースが多かったため、脆弱な機器が蔓延してしまったのです。
IPA が 2017 年に IoT 機器開発者に対して行った調査でも、「製品開発段階でのセキュリティ方針、基準の有無」について「ある」と回答した割合は 35.6%に留まるなど、改善がなかなか進まないことが浮き彫りになっています。
こういった状況を放置すると、企業内に設置された IoT機器から内部ネットワークに侵入されたり、DDoS 攻撃の踏み台に使われたりします。セキュリティに予算をかけられる大企業では対策が進んでいるところが多いのですが、取引先企業や社員の自宅に侵入されて、そこから感染が広がるサプライチェーン攻撃も増加しており、安心はできません。
総務省の危機感 総務省は、情報セキュリティ対策の知識を国民にわかりやすく提供するため、2003年度より「国民のための情報セキュリティサイト」を運営しており、その中で「安全なパスワード管理」として推測されにくい安全なパスワードの設定を呼びかけてきました。
また、2016年には経産省と共同で「IoT セキュリティガイドライン」を策定し、IoT 機器の使用にあたっては、ID やパスワードの設定を適切に行うよう求めています。今回の「NOTICE」は、それをさらに推し進めた対策です。改善がなかなか進まない状況に対する「実力行使」ということもできます。
五輪を直前に控え政府もセキュリティ対策に本腰
NOTICE の調査を受け、2019年6 月中旬からは、脆弱性が確認された機器の所有者に対して注意喚起を行う取り組みが始まりました。
NOTICE では日本国内の 2 億個の IP アドレスのうち 9,000万アドレスについて調査を行い、ID・パスワードが入力可能であったものが3~4万件、最終的に注意喚起を行ったのは延べ 147 件と、印象としては少ない結果となりました。一安心と言えますが、これはあくまでもリスクが高いと言われる 100 種類程度の ID とパスワードの組み合わせを確認したに過ぎません。総務省も「現時点では(注意喚起の)数は少ない」としつつも、セキュリティ対策の徹底は引き続き必要だと述べています。
ハッカーが通常行うブルートフォース(辞書などを使った総当たり)攻撃の規模はこの比ではなく、今回の結果がリスクの実態を正確に表しているかどうかには議論の余地があります。総務省が言うように、これはあくまでも「始まり」と捉えるべきでしょう。
2019年6 月にはこの他に、総務省のサイバーセキュリティ統括官が、IoT 機器にセキュリティ機能の搭載を義務付ける新技術基準や、経営者のセキュリティ対策への投資インセンティブを高めるための情報開示の促進などの取り組みを進めると発言するなど、IoT セキュリティを巡るいろいろな動きが報じられました。民間団体である JPCERTコーディネーションセンターからも IoT セキュリティチェックリストが公表されています。
これらの動きは、大会を控え「これからが本番」という意識が高まってきたためと考えられます。IoT セキュリティは、もちろんオリンピックのためだけのものではありません。
しかし、TOKYO 2020 という直近のイベントを目標に、待ったなしの覚悟で IoT セキュリティを見直し、強化していくことは非常に重要であり、取り組みの成否が将来安全な IoT 環境を構築できるかを左右するのではないでしょうか。
IoT セキュリティ対策はお済みでしょうか?
IoTセキュリティは多くの企業にとって重要かつ急務の課題です。しかし、日々目まぐるしく変化していく技術や状況のなかで、対応が追いついていないのが実情ではないでしょうか?IoTセキュリティならミツイワにおまかせください。
ICTシステムの構築や電子デバイス製品も手掛けるミツイワなら、お客様のニーズに応じて最適かつ総合的なセキュリティ対策をご提案できます。既存製品へのセキュリティ対策から、新規製品の企画段階でのご提案までお気軽にご相談ください。
