今、IoTが世の中のあらゆる分野に浸透しています。しかし、これはセキュリティ脅威の拡大を意味するものでもあり、実際IoTの普及に伴って、IoT に対する脅威が数多く報告されています。特にIoT危機の乗っ取り被害とサイバー攻撃の踏み台への悪用は、深刻なサイバーセキュリティ脅威の事例とされています。
そんな中、5月15日、総務省や国立研究開発法人情報通信研究機構(NICT)、一般社団法人ICT-ISACがISPと行っている「NOTICE」では、パスワード設定に問題あるIoT機器が年間2,249件にのぼったと注意を喚起しました。今回はこのNOTICEを分析する他、IoT機器を安全に利用するため必要なことをまとめてみました。
NOTICEとは
NOTICE(National Operation Towards IoT Clean Environment)は、総務省、国立研究開発法人情報通信研究機構(NICT)及び一般社団法人ICT-ISACがISP(インターネットサービスプロバイダ)と連携し、IoT機器へのアクセスによるサイバー攻撃に悪用されるおそれがある機器を調査するとともに、当該機器の利用者へ注意を喚起する取組です。
NOTICEの背景
あらゆるものがインターネット等のネットワークに接続されるIoT 時代が到来しています。同時に、それらに対するサイバーセキュリティの確保は、安心安全な国民生活や社会経済活動確保の観点から重要な課題と位置づけられています。IoT機器が普及する一方、IoT機器を狙ったサイバー攻撃は近年増加傾向にあります。つまり、セキュリティ対策に不備があるIoT機器は、マルウェアに感染しサイバー攻撃に悪用されるおそれがあります。実際、海外ではIoT機器を悪用した大規模なサイバー攻撃(DDoS攻撃)によりインターネットに障害が生じるなど、深刻な被害が発生しています。また、日本においても2020年東京オリンピック・パラリンピック競技大会などを控え、対策の必要性が高まりました。これをきっかけに「電気通信事業法及び国立研究開発法人情報通信研究機構法の一部を改正する法律」が2018年11月1日(木)に施行され、NICTの業務に、サイバー攻撃に悪用されるおそれのある機器の調査等が追加されました。
NOTICEの取組み
1. 機器調査
NOTICEではインターネット上のIoT機器に、容易に推測されるパスワードを入力することなどにより、サイバー攻撃に悪用されるおそれのある機器を調査し、その情報をインターネットプロバイダに通知します。
2. 注意喚起
ISPは、NICTから受け取った情報を元に当該機器の利用者を特定し、電子メールや郵送などを通じ注意を喚起します。
3. 設定変更等の指示
注意喚起を受けた利用者は、注意喚起の内容やNOTICEサポートセンターサイトの説明などに従い、パスワード設定の変更、ファームウェアの更新など適切なセキュリティ対策を施さなければなりません。
4. ユーザサポート
総務省が設置したNOTICEサポートセンターは、ウェブサイトや電話による問合せ対応を通じて利用者に適切なセキュリティ対策等を案内しています。
NOTICEの実施報告(2020年5月15日)
脆弱なIoT機器への注意喚起は月300件前後に
5月15日、NOTICEより「脆弱なIoT機器及びマルウェアに感染しているIoT機器の利用者への注意喚起の実施状況(2019年度)」と題された注意喚起が出されました。総務省によれば、2019年度末までに50社のISPがNOTICEに参加し、約1.1億個のIPアドレスに対して調査を実施したといいます。 NOTICEの注意喚起は、おおむね月に1回の調査をもとに出されています。今回の注意喚起の調査対象となったIPアドレスのうち、ID・パスワードが入力可能であったものは約100,000件でした。またそのうち特定のID・パスワードによりログインでき注意喚起の対象となったもの(ISPに通知したもの)は延べ2,249件で、月当たり300件程度の幅で推移していると報告されています。
既に、マルウェアに感染しているIoT機器の利用者に対してISPが注意を喚起する「NICTER注意喚起」は、2019年6月から行われております。検知した情報を日ごとにISPに通知しており、その1日当たりの平均件数は162件です。2019年度第4四半期には、2020年2月下旬から3月初旬にかけて一時的に通知件数が増加しており、マルウェア(Mirai亜種)の活動が一時的に活発化したことによるものと推測されています。
今回の注意喚起の総括によると、現時点で容易に推測される「ID」や「パスワード」を設定したり、マルウェアに感染したりしている「IoT機器」は少ない状況だといいます。しかし、引き続き脅威は存在するので、適切なパスワードの設定やファームウェアの更新などセキュリティ対策を施す必要があるとのことです。
IoTで注意すべきセキュリティポイント
NOTICEでは単純に、IoT機器に容易に推測されるパスワードが入力可能かを検知しています。IoT機器の中には、「root」「password」といったありふれた単語を、初期設定のIDやパスワードにしている製品もあります。それを変更していない場合、外部の第三者でもログインできるので、まずは初期設定のIDやパスワードを変更しましょうという取組みです。しかし、これはIoT危機のセキュリティの初歩の初歩で、これだけでサイバー攻撃を防ぐことはできません。総務省では「IoTセキュリティガイドライン」を公表し、IoTセキュリティ対策の5つの指針を盛り込んだセキュリティ策定のポイント等を解説しています。5つの指針は次のような項目に分かれています。
方針
IoTへの攻撃は企業の存続にも影響するので、トップダウンで対策を進めることを推奨しています。
分析
IoT機器・システムの個々の機器レベルでの機能やセキュリティの脆弱性について診断するべき部分、また機器の接続という物理的な行為からの感染リスクについても注意を喚起しています。
設計
「設計」時に、機器が組み合わさることで想定外のリスクが生じることに留意することとしています。ひとつの脆弱な機器がネットワーク全体に大きな脅威を生む危険があります。
構築・接続
機器の初期設定に対する注意、各機器の稼働状況や通信状況のログ管理の必要性を説明しています。
運用・保守
システムや機器を提供するメーカーやサービス会社の注意点、構築後に判明する脆弱性について述べています。
IDやパスワード等の設定は、「構築・接続」の機器の初期設定といったこれらの指針のほんの一部にすぎません。それすらもきちんと設定されていない状況に危惧を覚え、NOTICEのような取組みが生まれているわけです。企業であれば特に、しっかりと総括した対策を行っていなければサイバー攻撃の標的となり、システムの乗っ取りや、機密情報の流出、システムの停止といった重大な事故・事件を招いています。企業はIoT機器に対し、最低限以下のようなチェックポイントを確認すべきです。
- そのネットワーク通信は、正しい相手と接続されているか。
- ネットワーク経路の途中で盗み見されていないか。
- 通信の途中でデータが加工されてしまってはいないか。
こうしたネットワークに関する3つのセキュリティ危機は、例えばTLSといった暗号化技術によって通信を行うことで解決することが可能です。今はスマホでも手軽に機器を操作したり、クラウド上のデータにアクセスしたりすることが可能です。そのため、上記のセキュリティポイントを解決するソリューションとして、暗号化は必須のサービスとも言えます。暗号アルゴリズムは、システム全体の安全性に関わってくるため、信頼性の高い暗号アルゴリズムが正しく実装されているかどうかがポイントとなります。そういった高い技術と信頼性を持つ製品の導入を検討する必要があるでしょう。
さいごに
IoTシステムを安全に活用するためには、従来のICTシステム向けセキュリティ対策に加え、IoTシステムの特性を考慮したセキュリティ対策が必要です。また、現在のIoTシステムにおけるセキュリティ対策はクラウド層が中心のため、エッジ層やデバイス層へのセキュリティ対策も必要となります。IoT機器は夜間も含め1日中稼働したり、人目に付きにくい環境で動いたりするものも多数あります。そして様々なソフトウェアとネットワークで構成されているので、それぞれにセキュリティ対策を施すことが必要です。
NOTICEで注意喚起されている初歩的な対策はもちろんのこと、ネットワークの安全性やデータの安全性も防御できるようなセキュリティシステムを構築していくことが重要です。