Information
SIPS Security Report

【配信日】 2020年11月9日

サイバー攻撃者が狙うIoTのセキュリティ事情と脅威

インターネットの普及でPCやスマートフォンでのインターネットを利用した通信は当たり前のようになり、今では様々な物までインターネットに繋がり情報交換しながら相互に制御して動作する、いわゆる IoT[Internet of Things]【モノのインターネット】によるデジタル社会が作られてきている。

IoTによりモノがインターネットに接続されることで、これまで不可能であった遠隔からの操作や管理、情報収集、分析、人工知能への活用などが実現され、工業、農業、医療、運輸など様々な分野での活用により私たちの生活の利便性が向上している。

では具体的にIoTと言って思い浮かぶものは何があるだろうか？
AIスピーカーや照明、テレビ、冷蔵庫のような家電、クレジットカードなど、インターネットに繋がっている物は身の回りには数多くあり、インターネットに繋がっている事すら分からないものまである。

それ以外では、町中の駐車場の空き状況をリモートで知らせるシステムやコインランドリーの利用状況や売上を管理したり、ペットや植物の遠隔管理やWebカメラを使った子供や老人の見守り監視、血糖値を管理するコンタクトレンズ、各社が競って実用化を始めた車の自動運転等があり、中でも生産工場などの自動化ロボットなどは数多く使われていて、挙げればきりがないほどIoT製品が存在し、IoTによるデジタル社会は急速に発展していて市場も拡大している。

市場調査会社のデータでは世界のIoTの市場は2019年で81兆円規模になっていて2022年には108兆円に成長すると予測されている。

しかし、これらのIoT機器も普及に伴い、サイバー攻撃者によって利用されているのである。
IoT機器内のプログラムに脆弱性が存在した場合、サイバー攻撃者が準備したサーバに接続させるように誘導する。
接続されたIoT機器はリモート制御可能なマルウェアをダウンロードしてしまう。
このようなマルウェアが設置されたIoT機器は遠隔でサイバー攻撃者にコントロールされる事になる。

2016年秋には【Mirai】と呼ばれるIoTをターゲットにしたマルウェアが全世界で発生し、全世界で100万台、日本でも約5万台が感染確認された。
その結果、史上最大規模のDDoS攻撃を引き起こし有名なサイトがダウンするなど世界で被害が発生した。
そして翌2017年秋には【Reaper】と呼ばれるマルウェアが登場し同様に被害を与えている。

11月4日セキュリティベンダーのパロアルトネットワーク社が発表した調査結果「IoT/OTサイバーセキュリティジャパンサーベイ 2020年版」によると、企業内でIoTを利用している企業は、全体の61％で、その中の41.8％がサイバー攻撃の被害を経験したと回答している。
また「IoTデバイスのセキュリティ対策に課題を抱えている」と回答している人が78.5％あり、その課題として「デバイスの数や種類が多い」「ITネットワークとつながっている」「デバイス自体にセキュリティ対策を導入できない」などが挙げられている。

サイバー攻撃者が攻撃する際に神経を使うのはIoT機器への接続である。
接続して通信することができれば当該機器を制御しハイジャックするのは比較的簡単である。

ここで問題になるのがIoT機器のセキュリティ対策である。
IoT機器は、ハードウェアやソフトウェアが組み合わさり製品となっているが、製造過程では複数の開発会社が存在していて簡単に機器の交換やプログラムのアップデートが出来ない。
しかもそのIoT機器の通信は公衆回線を利用するため、誰でもアクセスが可能になっている。
これにより出荷以降に様々な脆弱性が確認されても、アップデートが行われずそのままになっていることが多く、その脆弱性を狙って攻撃されることになる。

またSIPSの分析結果では、現在防犯用カメラシステムとして利用されているCCTVは、カメラで撮影した映像をクラウドサーバ経由でモニターに送る仕組みになっているものが多いが、このときの通信はコストを抑えるため暗号化せず送受信しているものがほとんどで、簡単にハイジャックできることが確認できた。

利便性を優先するあまりメーカーがセキュリティを重要に考えていない事が多く、IoTセキュリティのリスク回避策はなく、脆弱性の問題に対しても鈍感になっているといえるだろう。
各々の製品開発、アプリケーション開発におけるセキュリティ意識の欠如が大きな問題であると考えられる。

IoT機器にハイリスクの脆弱性が存在している状況であれば、一回の攻撃で接続されている全てのネットワーク機器が一気に悪性プログラムに感染する可能性もある。
攻撃側も攻撃手法の高度化が進み攻撃コストも下がっているため、IoT機器メーカーはもちろん、一般ユーザの両方とも IoTセキュリティに対する警戒心を持たなければならない。

SIPSは10月に日本の自動車関連企業のDBハッキングに関する情報売買の掲示を確認した。
そこにあったのは日本の有名自動車メーカーの重要部品に関する情報であり、流出情報は企業の極秘情報を含む大量のデータであった。
このデータを見れば詳細まで構造や仕組みが分かってしまう。

もしこれがIoT関連つまり自動運転などに関連する情報であったとすれば、その仕組みやプログラムなどの情報がサイバー攻撃者の手に渡り、自動運転の制御部分がハイジャックされリモートで操作されれば、自動車を暴走させることも可能になる。
最悪の場合サイバーテロのように複数台一斉に攻撃されれば大事故では済まないだろう。

監視カメラやスマートカメラはハイジャックされて個人の行動やプライバシーを盗撮されているという事件も既に発生していて、今後もIoTに絡むサイバー事故・事件は増加していくと考えられている。

私たちの生活を便利にするIoTだが、利便性だけでなくセキュリティをきちんと考えた製品作りはこれからの大きな課題であり、IoT製品の製造に携わる人は絶対に忘れてはならない。
そしてIoT製品利用者もIoT機器が完全であるという意識は持たず、常にリスクを考えながら利用することを心がけなければならない。

　<参考URL>
ビジネス+IT：2019/11/7
ホテルのロボットが盗撮？ セキュリティ軽視のIoT企業は立派な「脅威」だ
https://www.sbbit.jp/article/cont1/37224

日経XTECH：2020/1/30
工場を狙うサイバー攻撃の実態　IoTセキュリティーの要は「信頼」、動き出す政府と企業
https://active.nikkeibp.co.jp/atcl/act/19/00100/011500004/

日刊工業新聞社 ニュースイッチ：2020/2/21
IoTを狙う攻撃にはどんなものがあるのか？
https://newswitch.jp/p/21120