家のなかの家電すべてが穴となる! 危険なIoT機器の現状

昨今はFinTechだ、AIだ、仮想通貨だと世間を賑わせているキーワードが多々あるが、その中で今回はIoTについて解説いたしたい。

半年間で60万台を超えるIoT機器からアタック

モノのインターネット(英語: Internet of Things, )とは、様々な「モノ(物)」がインターネットに接続され(単に繋がるだけではなく、モノがインターネットのように繋がる)、情報交換することにより相互に制御する仕組みである。それによる社会の実現も指す。「物のインターネット」と表記された例もある。現在の市場価値は800億ドルと予測されている。(Wikipediaより)

いまや、身の回りのデジタル機器でネットに繋がらないものは極めて少ないのが現状である。

小さなものでは親指に載る数ミリのチップからテレビ、冷蔵庫、そして自動車の様な物までその幅は素人の方々が考えている以上に広く深い。

この機器について、昨年の11月に横浜国大の吉岡先生からマスコミに情報発信があった。NHKだけでも11月のクローズアップ現代、12月のサイエンス・ゼロと極めて硬い番組での公開となった。今回はこの情報に加え、マスコミにはまだ報知されていない情報などを加えてここに掲載致したい。

普段何気なく使っておりますIoT機器・・・もっと簡単にお話しすると、インターネットに繋がるものは注意深くチェックすると相当な数にのぼるはずです。

たとえばレシピ付電子レンジ、冷蔵庫、ビデオデッキ、健康器具、いずれもネット接続可能な比率は年々急激に増加しておりますが、「ネットとの接続可能」ということは裏を返せば「悪者が侵入し、あなたの情報や関連情報を盗み、他の機器の中継機として世界中の情報を悪意のあるクラウドやサーバーに取り込むことが出来る」という意味でもあるのです。

吉岡チームは統計情報を得るために大学のシステムに対して攻撃してきたIoT機器を半年かけて観測していたが、累計台数は60万台を超えたという。

その機種は実に多様である。

監視カメラ・DVD/BDビデオレコーダー・ルーター・モデム・NAS・IP電話・アナログ電話アダプター・駐車管理システム・ディスプレイ制御システム・センサ監視装置・ビル制御システム・Webカメラ・ホームオートメーション・GW・太陽光発電管理システム・電力需要監視システム・映像配信システム・デジタル音声レコーダ・ビデオエンコーダ/デコーダ・ケーブルテレビのセットトップボックス・ヒートポンプ・火災報知システム・MRI(医療機器)、指紋スキャナー、病院の自動点滴システム、X線診療システム・・・・・・

病院のMRIが攻撃?

DVDレコーダーが、監視カメラが攻撃して重要データを奪っていく?

嘘のような本当の話である。

市役所やオフィスの監視カメラの映像が垂れ流しという危機

これらの原因についてはここでは専門すぎてしまうきらいがあるので割愛するが、多くのセキュリティホールの元凶が30年以上も前に使われた通信規約「Telnet」であることは覚えておいて損はないと思われる。

世の中のIoT機器の多くがそこでの認証が出荷時のままのパスワード、もしくはそもそもパスワードの設定がハード的にできないという機種も存在しているという。だから、簡単に管理者に成りすますことができるのでネットからそこのIoT機器のコントロールを奪って、様々な悪さをするのは極めて容易である(一部の機種は、パスワードを変更してもハードやソフトのセキュリティホールのため、簡単に乗っ取られてしまう。そんな機器もまだまだアマゾンなどで販売されている。これは機器を交換するしかない)。

2年前に民放が「監視カメラが簡単に画像の垂れ流し(パスワードがないかデフォルトのままのため)をしている箇所をロシアのサイトで集約し、リアルで画像が見られるようになっていた」という情報を公開していた。

当時は日本国内だけでも1万カ所近い場所が公開されていたがその後様々なテレビ局や雑誌で紹介された結果、今では2000カ所を下回る監視カメラしか公開されていないが、それでも某県庁や市役所、理髪店、航空会社の事務所などの画像がそのまま世界中に垂れ流しとなっている(差しさわりがあるのでサイトの場所はここでは記載できない)。

以前、組み込み型専門のソフト会社の方々とある仕事を一緒にさせて頂いたが、次の様に話されていた。「IoT機器の危険性は認識しているが発注者側の意識がほとんどどない。セキュリティに対する要望は最低限のものでしかなく、0.1円単位でコスト削減を強いる発注側からは「余計なコストをかけるな」と言われてとても困っている。セキュリティが余計なコストという時点で相容れないのです」

世の中はますます便利になるが上述の様な機器については本来の機能ではないという理由で・・・

・セキュリティの設定が甘い
・そもそもセキュリティ設定画面がない
・パスワードの設定ができない
・パスワードの変更ができない
・設定は自由にできるが組み込みソフトそのものに脆弱性があり、2分で設定したパスワードを平文で読めてしまえる。

などの致命的な問題を数多く抱えているのが現実である。だから、一部の外電では未確認情報であるが、敵国の要人暗殺に「自動運転の政府特別車」「要人向け高級個室病棟に設置された自動点滴システム」なども今後は使われることになるという。(恐ろしい!)

DDOS攻撃の防御を根本から見直さないといけない

では、これらの結果どういうところにその兆候が表れているかというと、端的なのはDDOS攻撃の防御だ。

いままではPCやタブレットでのDDOSだったのでせいぜい同時攻撃は1万アドレスだったが、現在は家電などのIoT機器、プリンターなどで実際に昨年発覚した全米のネット障害は、数十万数百万というとてつもないレベル・・・ほとんど防御できなかった。

また2017年6月に発生したカブドット証券も「今までの想定より3桁多い攻撃のため殆ど攻撃をしている間は通信が途絶えてしまい対応できなかった」と担当者が話されていた。

さらに詳細分析をするために3年ほど前からハニーポットを構築していた。横浜国大では一地域だけのハニーポットでは数値の信頼性がないということもあり、世界で13か国・地域にハニーポットを設置して検証したのである。

特定非営利活動法人 パソコン整備士協会