あらゆるものがインタネットにつながる時代
5GとIoTが抱えるセキュリティ問題とは?
5Gは社会インフラやライフスタイルを大きく変える可能性を持つ、次世代の超高速通信システムです。もう間もなく日本国内でも開始され、4GやLTE以前でできなかったことが可能になります。大きく社会を変えていくと期待される5Gですが、今回は5Gで実現できることと併せ、そのセキュリティ課題等にも踏み込んで解説してみたいと思います。
5Gの3つの特徴
5Gは「5th Generation」の略称で「第5世代移動通信システム」という意味です。日本では携帯キャリア大手3社、NTTドコモ、au、ソフトバンクが導入を決定していて、2020年春頃に開始予定となっています。4Gとの大きな違いは、超高速・大容量接続、低遅延、多接続です。
超高速・大容量接続
4Gの通信速度は100Mbps~1Gbpsですが、5Gでは最大100Gbpsとなり「100倍以上」早くなると予測されています。例えば、4Gなら10秒かかるデータ通信も5Gであればわずか0.1秒未満で可能です。通信速度の高速化によって、さまざまな視点からの映像を選択できるマルチアングル視聴やVRのような臨場感のある3D映像など、大容量 データの通信を必要とするストリーミング映像サービスが実現可能となります。
低遅延
4Gでは10msの遅延がありますが、5Gでは1msに改善されます。遅延が少なくなることでリアルタイムにデータを送受信できるようになり、音や画像がズレることが少なくなります。シューティングゲームやリズムアクションゲーム等、リアルタイム性の高いゲームをプレイする際、離れた場所どうしでも問題なくやりとりができるようになります。
多接続
同時接続数は4Gでは10万台/平方kmでしたが5Gでは100万台/平方kmと10倍になります。IoTの普及に伴って、スマホやパソコンだけでなく、ワイヤレスの通信を利用する機器が増大しています。4Gや3Gでは対応できないような同時接続でも、5Gでは接続可能になります。それによって家庭にある数多くのデジタル家電や白物家電、センサー類までもネットワークにつながります。空調コントロール、カーテンや照明の自動作動等スマートホームが実現します。また工場、店舗、農業などでもIoTにより温度や湿度の管理、カメラやネットワーク機器による操作や制御等が可能になります。
IoTデバイスへのサイバー攻撃リスク
IoTデバイスへのサイバー攻撃は、マルウェアなどを介してPCやスマートフォンといったデバイスへの侵入を果たし、そこでやりとりされる個人情報や企業機密を盗み出す行為の他、侵入したデバイスを踏み台に、さらに他のデバイスや企業内サーバへの侵入を試み、より多くの情報を盗み出したり、直接的な損害を与えたりするパターンがあります。
総務省が作成した「平成30年版 情報通信白書」によれば、全サイバー攻撃の半数以上がIoTデバイスを標的にしています。IoTが狙われる要因は無防備につながっていること、SIMなどの規格の問題があげられています。
無防備につながるIoTデバイス
5Gの高速通信によってネットワークに接続される機器や端末が増えれば、その分サイバー攻撃のターゲットも増えることを意味します。トラフィック量が増大するということは、通信を傍受されて盗まれた場合のデータ量も増大することにつながります。現時点でも街中の監視カメラや駐車管理システム、ビル制御システム、火災報知システムなど、すでに多くの機器がインターネットに接続されていますが、これらのIoTデバイスはかなりの割合がサイバー攻撃の侵入を受けています。ShodanやCensysなどインターネットに直接接続された端末を見つける事が出来るIoT検索エンジンを利用すれば、簡単に端末の検索が誰もできてしまいます。
インターネットに繋がることはイコールでハッキングのリスクにつながります。IPカメラに侵入すれば、カメラに映る映像を見ることができ、遠隔操作に対応した機種であれば操作も可能になります。例えばデフォルトのパスワードの変更なしに、無防備に各種IoT機器のリモートアクセスを許可するといった事は慎むべきでしょう。IoTデバイスはサーバやパソコンと比較するとインターネットに接続しているという意識も薄く、その分セキュリティ対策が脆弱なものとなっています。
SIMやUSIMへの攻撃
スマートファクトリーの設備、自動運転車、モバイルロボット、そしてスマートウォッチのように、無線接続が可能な IoT デバイスのほとんどは、携帯電話と同様にSIMによって加入者の識別およびセキュリティ管理を行います。このSIMにはコンテンツや機能を遠隔から変更するための規格が組み込まれていますが、悪用される可能性のあるさまざまなコマンドを、SMSを通じ実行することが可能です。これらのコマンドが 5Gを通して送信された場合、SIMに対応した IoTデバイスは、重大な影響を受ける可能性があります。
不正な SIM-OTA SMSメッセージは、偽の基地局や、ハッキングされた正規基地局、キャリア、SMSゲートウェイ、通信衛星等から送信されます。キャリアがハッキングされた場合、組織的なサイバー犯罪に利用される恐れがあります。通信電波が届く範囲は広く、5Gのスケーラビリティを考慮すると、SIM-OTA SMSメッセージを利用した大規模な攻撃の可能性が想定されます。また、SIM-OTA SMS メッセージによってファイル転送を開始することも可能です。この機能を利用すると、SIMを搭載したIoT デバイスにマルウェアを含んだファイルをダウンロードさせることも可能です。
政府が取り組むセキュリティ対策
総務省は2019年8月「IoT・5Gセキュリティ総合対策」を策定しました。個別分野として「IoT」「5G」「クラウドサービス」「スマートシティ」「トラストサービス」「公衆無線LAN」「重要インフラとしての情報通信分野」「地域の情報通信サービス」を設定し、それぞれについて具体的な施策をあげています。
IoTのセキュリティ対策
IoTのセキュリティ対策では、IoT機器の設計・製造・販売段階での対策、IoT機器の設置・運用・保守段階での対策そして脆弱性等を有する IoT 機器の調査と注意喚起を柱として方針が出されています。例えばセキュリティ要件のガイドライン基準を満たしたIoTデバイスには認証マークを示すことや、既にマルウェアに感染している IoT機器について電気通信事業者を通じて利用者へ注意喚起を行う取組を実施することも述べられています。
5Gのセキュリティ対策
5Gのセキュリティ対策ではソフトウェア脆弱性への対応、ハードウェア脆弱性への対応にわけて策定されています。総務省はすでに2017年より、ハードウェア脆弱性の検知技術の研究開発を実施し、膨大な数の回路設計図をビッグデータとして収集・蓄積しつつ、 脆弱性が存在する可能性のあるチップを、AIを活用して類型化し、ハードウェア脆弱性を発見するための研究開発を実施してきました。今回の総合対策でも引き続き、ビッグデータや AIを活用しつつハードウェアに組み込まれるおそれのある脆弱性を検出する技術の研究開発等を推進していくとしています。またサプライチェーンリスクへの対応もまとめられています。
その他横断的施策としては、研究開発の推進(基礎的・基盤的な研究開発等の推進、広域ネットワークスキャンの軽量化など)、人材育成・普及啓発の推進(実践的サイバー防御演習(CYDER)の実施、2020東京大会に向けたサイバー演習の実施など)、国際連携の推進(ASEN各国との連携、国際的なISAC間連携など)、情報共有・情報開示の促進(事業者間での情報共有を促進するための基盤の構築、サイバーセキュリティ対策に係る情報開示の促進など)をあげています。
最後に
5G が世界的に普及するとされる 2020年までに、IoT デバイスは 300 億台に上ると予測されています。5Gの普及に伴い、私たちの新しいライフスタイルや新しい感動体験が得られると予想されます。乗用車の自動運転やドローン、医療系技術やロボットやAIなど、現在の最先端の技術がさらに進化していくでしょう。普及に伴うメリットが大きい反面、セキュリティ課題も懸念されています。
これまでにも5GのリスクはIoTのリスクと直結しています。IoTについてはこれまでにもセキュリティガイドラインが詳しく公表されてきました。ポイントなるのは「経営者はIoTセキュリティの基本方針を定め、状況の把握とセキュリティの体制作りをする。」ことや、「内部不正と人為的ミスを防ぎ、もし発生しても安全を守れる対策を検討する。」といった方針を今から明確にしておくことが必要です。