【名探偵ハギーのパソコン事件簿】家のなかの家電すべてが穴となる! 危険なIoT機器の現状

昨今はFinTechだ、AIだ、仮想通貨だと世間を賑わせているキーワードが多々あるが、その中で今回はIoTについて解説いたしたい。

半年間で60万台を超えるIoT機器からアタック

モノのインターネット(英語: Internet of Things, IoT)とは、様々な「モノ(物)」がインターネットに接続され(単に繋がるだけではなく、モノがインターネットのように繋がる)、情報交換することにより相互に制御する仕組みである。それによる社会の実現も指す。「物のインターネット」と表記された例もある。現在の市場価値は800億ドルと予測されている。(Wikipediaより)

いまや、身の回りのデジタル機器でネットに繋がらないものは極めて少ないのが現状である。

小さなものでは親指に載る数ミリのチップからテレビ、冷蔵庫、そして自動車の様な物までその幅は素人の方々が考えている以上に広く深い。

この機器について、昨年の11月に横浜国大の吉岡先生からマスコミに情報発信があった。NHKだけでも11月のクローズアップ現代、12月のサイエンス・ゼロと極めて硬い番組での公開となった。今回はこの情報に加え、マスコミにはまだ報知されていない情報などを加えてここに掲載致したい。

普段何気なく使っておりますIoT機器・・・もっと簡単にお話しすると、インターネットに繋がるものは注意深くチェックすると相当な数にのぼるはずです。

たとえばレシピ付電子レンジ、冷蔵庫、ビデオデッキ、健康器具、いずれもネット接続可能な比率は年々急激に増加しておりますが、「ネットとの接続可能」ということは裏を返せば「悪者が侵入し、あなたの情報や関連情報を盗み、他の機器の中継機として世界中の情報を悪意のあるーに取り込むことが出来る」という意味でもあるのです。

吉岡チームは統計情報を得るために大学のシステムに対して攻撃してきたIoT機器を半年かけて観測していたが、累計台数は60万台を超えたという。

その機種は実に多様である。

監視カメラ・DVD/BDビデオレコーダー・ルーター・モデム・NAS・IP電話・アナログ電話アダプター・駐車管理システム・ディスプレイ制御システム・センサ監視装置・ビル制御システム・Webカメラ・ホームオートメーション・GW・太陽光発電管理システム・電需要監視システム・映像配信システム・デジタル音声レコーダ・ビデオエンコーダ/デコーダ・ケーブルテレビのセットトップボックス・ヒートポンプ・火災報知システム・MRI(医療機器)、指紋スキャナー、病院の自動点滴システム、X線診療システム・・・・・・

病院のMRIが攻撃?

DVDレコーダーが、監視カメラが攻撃して重要データを奪っていく?

嘘のような本当の話である。

市役所やオフィスの監視カメラの映像が垂れ流しという危機

これらの原因についてはここでは専門すぎてしまうきらいがあるので割愛するが、多くのホールの元凶が30年以上も前に使われた通信規約「Telnet」であることは覚えておいて損はないと思われる。

世の中のIoT機器の多くがそこでの認証が出荷時のままのパスワード、もしくはそもそもパスワードの設定がハード的にできないという機種も存在しているという。だから、簡単に管理者に成りすますことができるのでネットからそこのIoT機器のコントロールを奪って、様々な悪さをするのは極めて容易である(一部の機種は、パスワードを変更してもハードやソフトのセキュリティホールのため、簡単に乗っ取られてしまう。そんな機器もまだまだアマゾンなどで販売されている。これは機器を交換するしかない)。

2年前に民放が「監視カメラが簡単に画像の垂れ流し(パスワードがないかデフォルトのままのため)をしている箇所をロシアのサイトで集約し、リアルで画像が見られるようになっていた」という情報を公開していた。

当時は日本国内だけでも1万カ所近い場所が公開されていたがその後様々なテレビ局や雑誌で紹介された結果、今では2000カ所を下回る監視カメラしか公開されていないが、それでも某県庁や市役所、理髪店、航空会社の事務所などの画像がそのまま世界中に垂れ流しとなっている(差しさわりがあるのでサイトの場所はここでは記載できない)。

以前、組み込み型専門のソフト会社の方々とある仕事を一緒にさせて頂いたが、次の様に話されていた。「IoT機器の危険性は認識しているが発注者側の意識がほとんどどない。セキュリティに対する要望は最低限のものでしかなく、0.1円単位でコスト削減を強いる発注側からは「余計なコストをかけるな」と言われてとても困っている。セキュリティが余計なコストという時点で相容れないのです」

世の中はますます便利になるが上述の様な機器については本来の機能ではないという理由で・・・

・セキュリティの設定が甘い
・そもそもセキュリティ設定画面がない
・パスワードの設定ができない
・パスワードの変更ができない
・設定は自由にできるが組み込みソフトそのものに脆弱性があり、2分で設定したパスワードを平文で読めてしまえる。

などの致命的な問題を数多く抱えているのが現実である。だから、一部の外電では未確認情報であるが、敵国の要人暗殺に「自動運転の政府特別車」「要人向け高級個室病棟に設置された自動点滴システム」なども今後は使われることになるという。(恐ろしい!)

の防御を根本から見直さないといけない

では、これらの結果どういうところにその兆候が表れているかというと、端的なのはDDOS攻撃の防御だ。

いままではPCやでのDDOSだったのでせいぜい同時攻撃は1万アドレスだったが、現在はなどのIoT機器、プリンターなどで実際に昨年発覚した全米のネット障害は、数十万数百万というとてつもないレベル・・・ほとんど防御できなかった。

また2017年6月に発生したカブドット証券も「今までの想定より3桁多い攻撃のため殆ど攻撃をしている間は通信が途絶えてしまい対応できなかった」と担当者が話されていた。

さらに詳細分析をするために3年ほど前からハニーポットを構築していた。横浜国大では一地域だけのハニーポットでは数値の信頼性がないということもあり、世界で13か国・地域にハニーポットを設置して検証したのである。

IoT用ハニーポットがを捕獲すると自動的に解析システム(実態はサンドボックス)が捕獲後15分以内に動的分析するように設定した。

2015年4月1日~7月31日(122日)
国内148IPアドレスを観測用に使用
結果15万アドレスから不正ログインを検出、90万回のマルウェアダウンロード試行を観測

2016年後半から攻撃が急増!!!
明らかに新型マルウェア「mirai(ミライ)」の影響
Mirai・・・様々なIoT機器に感染して乗っ取りされてしまうもので2016年から爆発的に広がっている。

全米ののMiraiの発信元のひとつが日本に見つかった。
(吉岡先生の分析の結果)

秋田県の閑静な住宅街のアパート・・・そこのネット接続の監視カメラ。管理者はまったく気が付いていなかった。

ここではパスワードの設定をしていたし脆弱なものもなかった・・・。Miraiはそれでもお構いなし・・・世界で頻繁に使われているパスワード・・・。

たぶん数万程度のパスワードテーブルから辞書攻撃している(らしい)

なぜmiraiが爆発的に広がったのか・・・。

それは2016年の秋頃に作成者が全世界にソースを公開してしまったからである!!!

「アンナ先輩」が世界中に混乱を呼んだ

公開のIDは・・・・・・Anna-senpai

そう、日本語の「アンナ先輩」である(ただし日本人かは不明)。アニメ『下ネタという概念が存在しない退屈な世界』のアンナ先輩を指しているのかは不明だが、この公開以降、世界中が混乱しているのも事実である。

その後は公開ソースの改造版が次々と出て全世界で被害が拡散しており、その典型例がドイツで捕まったダニエル被疑者だ。

ドイツテレコムが大きな被害に遭い、90万世帯でインターネットが使えなくなった。サイバー攻撃を金で請け負う人物であった。うっかりドイツテレコムに侵入させたらしいが事実は不明である。ハニーポットによる最新の観測結果によると、不正クリックは1日2000万回に上っている。

また、IoT機器を故障させるマルウェアが昨年1月から登場している。これも本格的な感染はまだないがすぐにでも実行できる環境にある状況という。現状では世界で少なく見ても1億台のIoT機器が感染済とみている。(私見)

最後に自分のIoT機器や会社の機器が感染させられたら・・・通常は電源のOFF・ONで消える。(9割程度)実験ではロボット掃除機、スマート照明、学習リモコン、スマートコピー機、スマート電源プラグなどはこれでOKだった。ただし、NASやプリンターは影響受けず動作してしまった・・・。注意です!

駆除後なにもしないでまた繋げるとどうなるのか? 実験では最短38秒すべての機器で1時間以内に再感染してしまった!

さて今年はバラ色の世界ですか? それとも本格的なサイバー戦争が勃発するのでしょうか?

いままでの「ここまで防御すれば」はすべて妄想だ。世界で2020年にはIoT機器だけで700億台といわれるなかで感染率1%だけでも7億台!!!

横浜国大では今Miraiを自動消去するシステムを開発している。しかし、Miraiもしくはその亜流には通じるが今後、まったく新しいコンセプトで作られたら・・・

共働きなので赤ん坊や、ペットのための監視カメラ(でいつでもリアルに画像で確認できる)は要注意! ある実験ではすぐに乗っ取られてしまい、先方がカメラに向けてうっかり音声を出してしまった(これはNHKでも放送あり)。解析の結果は中国内陸部の方言だったとのこと。

あなたのご自宅にある(たぶん)数十台以上のIoT機器は本当に安全、安心でしょうか? 今一度点検されることを強くお勧めいたします。

萩原栄幸(はぎわら えいこう)

23年間、三菱東京UFJ銀行に勤務し、先端技術の調査・研究の実験室「テクノ巣」の責任者、および内部犯罪調査を現場で指導実績を積む。現在は情報セキュリティや内部犯罪、サイバー攻撃、FinTech、IoT、仮想通貨、AIなどについて独自の検証を踏まえ執筆や講演を精力的にこなす。地銀や信金などの金融機関を主体に製薬業等でのコンサルティングを実施し、学会でも2013年から16年まで学術講演会などの座長を務め精力的に活動中。

特定非営利活動法人 IT整備士協会