ハッカー最前線レポート2018｜IoT機器に迫る危機

毎年夏にラスベガスで開催されるハッカーカンファレンスのDEF CON（デフコン）。今回は、第4次産業革命でも注目を集める「IoT機器」についてです。
※本記事は、2018年9月27日に公開された記事を一部再編集しております。

電子機器が繋がるIoT

Webカメラやスマートスピーカー、照明機器に冷蔵庫など様々な電子機器がインターネットに繋がるInternet of Things（IoT）機器が急速に普及しています。

従来、ネットワークへ接続することを想定して利用されていなかった機器がネットワークへ接続されることによって、利便性の向上という恩恵とともに様々な問題も発生しています。

特に近年世の中を騒がせているMiraiと呼ばれるマルウェアは、インターネットに繋がるルーターやWebカメラなどのIoT機器に感染して、ボットネットという攻撃ネットワークを形成します。

そして、攻撃対象となったWebサイトへ分散サービス拒否（DDoS）攻撃を行うことで知られています。MiraiボットネットからDDoS攻撃を受けると数百Gbps以上もの通信データが送られ、サイトが閲覧できなくなったり、同じプロバイダを利用する他のサイトでも影響を受けたりしています。また、現在ではMiraiの亜種が複数作成されており、Windows環境を含め、攻撃対象は拡大しています。

普及とともに狙われるIoT機器

このようにIoT機器はインターネットに繋がっているがゆえに、サイバー攻撃によって被害者にも、加害者にもなり得る要素を持っているのが特徴です。こうした状況を改善しようと三年前からIoT機器のセキュリティ向上に貢献することを目的として、デフコンの「IOT village」が開催され、今年も55以上の脆弱性に関する発表や公開されていない脆弱性を探すコンテストなどが開催されました。

今回、脆弱性を探すコンテスト用にGEアプライアンスがWi-Fi接続可能な洗濯機を提供したり、スターバックスがインターネットと接続する最新式のエスプレッソマシンを提供するなど、様々なIoT機器が用意され、デフコン参加者は誰でも脆弱性を探すコンテストへ参加できました。
参加にあたっては発見した脆弱性をメーカー側で修正が行われるまで公開しないようにETHICS/LEGAL（倫理規定）とRESPONSIBLE DISCLOSURE（責任ある開示）のポリシーが設定され、サイバー攻撃を行う犯罪者へ情報が渡らないように注意しながら運営されていました。

安心して機器を提供できる仕組みが設計されている

こうした取り決めがあったため、今回どれだけの脆弱性が発見されたかは開示されていません。

これは機器提供スポンサーにとっては、大きなメリットです。仮にセキュリティ上の脆弱性が発見されても、それが即座に公表されるわけではありませんから、自らの製品のセキュリティ強度を確かめる目的で、最新製品や既存製品を安心して提供しやすいのです。これは、日本ではまだあまり馴染みがない光景です。

今回脆弱性を探すコンテスト用にコーヒーメーカーや電球など様々なIoT機器が用意されていましたが、それらの殆どがWi-Fi接続機能を有しており、日本ではまだ出回っていない製品が多数ありました。

日本で出回っていない理由の一つが、技術基準適合証明等のマーク（技適マーク）の有無です。日本国内において正規に流通する無線機器には必ず技適マークがついており、このマークが付いていない機器を使用すると、電波法に違反している状態になります。逆輸入品や海外のショッピングサイトから直接購入した場合は、技適マークが付いておらず、本人の自覚なしに電波法に違反していることも増えているので注意が必要です。

また、海外製品は脆弱性が発見されたり、ソフトウェアがアップデートされたりしても、日本国内では情報が出回らない点にも気をつける必要があります。

最近、ルーターなど自動的にソフトウェアアップデートが行われる機器も増えてきましたが、IoT機器の多くは手動でアップデートするか、そもそもアップデートが提供されていません。そのため、利用者はセキュリティに関する情報を自ら入手することに努め、脆弱性を悪用した攻撃を受けないように、本来であれば自衛手段としてIoT機器のアップデートや使用を停止するなどの判断する責任がつきまとうことを自覚する必要があります。

メーカーと使用者のリテラシーが課題

IoT機器を使用する際には、使用者に責任がつきまといます。日本国内で正規に流通する商品でも同様ですが、GPS付きの懐中電灯があったとして、GPS機能に脆弱性があった際に、使用者はアップデートをするでしょうか。多くの場合、アップデートの必要性すら認識できないことは想像に難くありません。

そこで重要となるのが、メーカーや使用者のリテラシーです。
IoT機器を提供するメーカーは脆弱性を作り込まない開発体制の下で製造したIoT機器に自動アップデート機能を付けて提供する。そして、使用者はそのようなメーカーが製造したIoT機器を積極的に購入して利用する、あるいは、自動アップデート機能が付いていないIoT機器は購入しないといった意思表示ができるかが、IoT機器を安全に利用し続ける上での課題になってくるでしょう。