サイバー事件 裏の裏 - 第2回

君たちは296億個のIoTデバイスに囲まれて生活している!?

「IoT=セキュリティの死角」だが対策は始まったばかり

文/三上洋


IoTは未来の技術じゃない。すでにセキュリティ被害が発生している

三上 まず、世の中にどのくらいIoTデバイスが普及しているのかと言いますと、総務省の平成27年版情報通信白書によれば、2013年の段階ですでに約158億個存在しており、それが2020年には約530億個にまで膨れ上がると予測されています。この予測値では今年、2016年では約296億個とのことです。

 とはいえ、「君たちは296億個のIoTデバイスに囲まれて生活しているのだ」と言われてもピンときませんよね。

 この場合のIoTって何かと言えば、一番わかりやすいのはクルマだと思います。いわゆるコネクテッドカー。自動運転までいかずとも、インターネットに接続するナビゲーションシステムを搭載したクルマも含まれます。そしてホームオートメーション。最近ではクーラーや炊飯器、玄関ドアやカーテンの自動開閉などですね。

 そのほか、IPアドレスが振られた機器が存在する場所としては、生産設備とそれを監視するセンサー類が設置されている工場、大量の医療機器がある病院が挙げられます。

 クルマや家電、工場設備は今後も増加することは間違いないので、2020年に530億個という数字も不思議ではありません。

 さて、世の趨勢がIoT急増に傾く中、当然トラブル事例も散見されます。目立つところでは自動運転車に脆弱性が見つかっています。例えばクライスラー(FCAUS)のSUV「チェロキー」などは、遠隔操作でワイパーを動かしたり、アクセルを効かなくさせたりといった脆弱性が発見され、約140万台がリコールとなりました。

 国内でも、Androidで動作するSmart TV Boxというセットトップボックスがランサムウェア「FLocker」に感染することが確認されています。これはポーランドでも同様の事例が見つかっていますね。すでにスマートフォンでのランサムウェア被害は話題になってますが、同じOSを使う機器も被害を受けるということはあまり知られていません。

 そして日本ではまだ馴染みの薄い「ベビーモニター」にも被害が出ています。欧米の場合、乳児に誰かが常に付いて世話をするというわけではなく、乳児が寝ているときなどは、あえてひとりきりにする育て方なのですね。そのため、離れている両親にも乳児の声が聞こえるように、ベビーモニターという、一種のトランシーバーを設置します。現在ではそのベビーモニターもインターネット接続が一般的になりました。そのベビーモニターから急に“成人男性の声がする”という怖い事件がありました。タネ明かしをすれば、要はイラズラでベビーモニターがネット越しに乗っ取られていたのです。

 以上、このあたりが比較的メジャーな被害事例ですね。

 そしてIoTかどうかは微妙なところですが、各家庭とインターネットの結節点であるルーターの乗っ取りも深刻です。脆弱性を突かれてスパム送信やDDoS攻撃の中継・踏み台にされ、その結果、プロバイダーやゲームへのアタックが行われています。

IoTのメリットはそのままセキュリティの弱点になる

三上 2015年12月にウクライナで停電がありました。原因はサイバー攻撃によるもので、おそらく史上初の出来事です。電力会社が標的型攻撃を受けてマルウェアに感染し、その後システムに侵入され、リモート制御によって約8万世帯が被害を受けたと言われています。

 これ自体は直接IoT絡みではありませんが、今後、公共機関やライフラインで使われるセンサー機器のIoT化が進んだとき、これまでのような世帯や企業単位ではなく、ある地域全体が一斉に深刻な被害を受けてしまうような事態も考えられます。

 では、そもそもなぜIoTがセキュリティ的に危険なのか? これまでインターネット機器はパソコンやスマホ、サーバなど基本的に人間が触って動かすものでした。言い換えれば、人間がある程度介在しないと用を足さない代物だったのです。ですからトラブルが起きても、どこかで人間が介在するので被害を未然に防げたり、最小限に抑えることができました。

 ところがIoTは、“モノのインターネット”という語句が示す通り、人間がタッチせず独立して動くものです。たしかにそれは便利ですが“人間の監視がない”ということでもあります。機械任せにすると利便性が増す一方、“トラブルを見つけ/気づきにくい”のですね。そしてそれらひとつひとつにセキュリティシステムが入れにくいことも問題です。コネクテッドカーならインストール可能でしょう。しかし、一旦組み込まれて売れてしまったモノ――それこそエアコン内部の温度センサー――に後からセキュリティを施すことは難しい。アップデートも同様です。

 ではどうやって守っていけばいいのでしょうか? IoTの場合、OSもプロセッサも皆異なります。自販機ならWindowsでしょうし、センサーはARMのチップ1個かもしれないし、そしてAndroidは多様な使われ方をしています。つまり、ひとつのセキュリティシステムではカバーできません。ですから家やオフィスを丸々守るのは大変なことなんです。結果、サイバー攻撃からの防御はすごく難しい状況になってきました。

 そんな中で、家庭を守るひとつの方法が、インターネットの出入口であるルーターを固めることです。基本的に家庭内のIoTはルーターにぶら下がる形になりますので、使わないポートを的確に閉めて外からのアクセスを制限し、あらかじめ決められたIPアドレス以外接続できないようにするなど、ルーターをガチガチに守る水際防御がホームIoTでは有望かなと。

 一方、オフィス・工場などでは、より包括的なセキュリティソリューションが求められるでしょう。最近でも、少なくない数の監視カメラにセキュリティが施されておらず(中には保護のしようがない仕様の製品も)、映像が誰でも見られる状態になっていたことがニュースになりました。PCやネットワークには専用のソリューションを施していても、不審者を見張るはずの監視カメラ自体がある意味セキュリティの死角になっていたわけです。

三上氏「脆弱性が発見されてもアップデートしようがない機器も存在するでしょう。これもセキュリティ対策を難航させる原因です」

対策は始まったばかり

 日本では具体的な対応策が固まっていなかったのですが、昨年末に総務省と経済産業省が中心となってIoT 推進コンソーシアムが結成され、今年の7月に「IoT セキュリティガイドライン ver 1.0」がようやく発表されました。

 ガイドラインには要点が21個書かれていますが……ハードル高いですね(笑) 物理的なリスクの認識、個々でも全体を守れる設計、出荷・リリース後の保守管理体制など、かなり広範囲なものです。ただ、このガイドラインを遵守するためには膨大なコストが製造者側にかかると予想されます。そしてあくまでもガイドラインです。法律ではありません。よって、残念ですがいまのところ現実的ではないかな、というのが正直な感想です。

 IoTのセキュリティには、根本的な問題があります。IoTは人間が楽するためのものです。勝手に運転してくれる、帰宅した段階で部屋が適温になっている、ご飯が炊けている、カーテンが閉まっている……。これらとセキュリティは二律背反です。IoT化すればするほどセキュリティ対策が必要な機器は増え、しかもすべてを守らなくてはいけません。一軒あたり数百に上るかもしれないIoTデバイスそれぞれに、「新たな脆弱性はないか? その対策は取られているか?」と常に気を配る必要があります。

 あまりにも膨大かつ問題が細部にわたり過ぎているので、現段階では対策方法どころか、IoTセキュリティに対する姿勢すら決めようがないと思います。まずはクルマ、家電などひとつひとつ個別に対策を考えていき、それらが積み上がることで結果的に全体が守られるという方向性で動くしかないのでは。

はみ出しコラム:「Pokémon GO特需」で私がうれしかったこと

 ちなみに、巷で話題の「Pokémon GO」に関しては、国内リリース後3日間で合計24件の取材を受けました。特に初日は空前の多忙で、コメントしている私本人がマトモにプレイできないという状態。

 仕方なく、空き時間に手っ取り早くレベルを上げようと、“ポケモンが出やすくなるアイテム”を購入しました。ところが有料アイテムを使った瞬間に週刊誌からの電話が鳴り響き、コメント録りが終わったころにはその有料アイテムの効力が切れているという悲しみを何度か味わうハメに……。

 まあ3日間、テレビ局間をタクシー移動して、局舎の前で待ち構えているADさんに連れられてスタジオまでダッシュするなど、売れっ子アイドルの気分を味わわせていただきました(笑) とても忙しい日々だったのですが、うれしかったことがひとつ。

 たいてい金銭被害などを伴った暗い事件の解説で呼ばれるので、しかめ面で映るのが常だったのですが、今回は人気ゲームの周辺事情解説ということもあり、久しぶりにニコニコ笑って出演できたのが良かったな、と。

筆者プロフィール:三上洋

ITジャーナリスト・ライター。東京都世田谷区出身、1965年生まれ。都立戸山高校、東洋大学社会学部卒業。テレビ番組制作会社を経て、1995年からフリーライター・ITジャーナリストとして活動。専門ジャンルは、セキュリティ、ネット事件、スマートフォン、Ustreamなどのネット動画、携帯料金・クレジットカードポイント。毎週月曜よる9時に、ライブメディア情報番組「UstToday」制作・配信。Ustream配信請負、ネット動画での企業活用のお手伝いもしています。