デジタル失敗学

今さら聞けないIoTの裏の“裏”

萩原栄幸 2019年06月11日 06時00分

  • このエントリーをはてなブックマークに追加
  • 印刷

 最近、社会のさまざまなところでIT系の用語を耳にする機会が急激に増えてきました。そこで今回は、その中から「IoT」について私見を交え解説したいと思います。極めて「くせ」のある解説になることはご容赦ください。

IoT

 IoTはネット上で以下のように解説されています。

モノのインターネット(物のインターネット、英語: Internet of Things:IoT)とは、様々な「モノ(物)」がインターネットに接続され(単に繋がるだけではなく、モノがインターネットのように繋がる)、情報交換することにより相互に制御する仕組みである。それによるデジタル社会(クロステック)の実現を指す。(Wikipediaより抜粋

 読者の皆さんは、こういう内容の解説を目にされてきたことでしょう。以前、IoTとサイバーセキュリティーの関係で、NHKの「NHKスペシャル」や「サイエンスZERO」などで横浜国立大学 准教授の吉岡克成さんが解説されました。ここでは吉岡さんの解説の内容とそこではお伝えされなかった内容を踏まえて私見で解説してみます。

 2年ほど前に行われた調査だけでも、「マルウェアに感染した機器」は、監視カメラやDVD/BDビデオレコーダー、ルーター、モデム、NAS(ネットワーク接続ストレージ)、IP電話、アナログ電話アダプター、駐車管理システム、ディスプレイ制御システム、センサー監視装置、ビル制御システム、ウェブカメラ、ホームオートメーション、ゲートウェイ、太陽光発電管理システム、電力需要監視システム、映像配信システム、デジタル音声レコーダー、ビデオエンコーダー/デコーダー、ケーブルテレビのセットトップボックス、ヒートポンプ、火災報知システム、MRI(医療機器)、指紋スキャナー、病院の自動点滴システム、エックス線診療システムなどなど、多岐に渡っていました。

 統計学的推論ではありませんが、今までの状況から私見を述べると、恐らく世界中のIoT機器の1億台以上が既にマルウェアに感染していると考えています。

 10年ほど前、JPCERT コーディネーションセンターとテレコムアイザック(現ICT-ISAC)、そして日本の主要なインタープロバイダー15社によるリアルなインターネット環境での計測において、PCの1.5%前後がボットに感染しているという状況が報告されました。その当時から鑑みて現在の様子は、決して大げさではないと考えています。

 また、「ATP28」「APT29」と呼ばれる国家とのつながりがあるとされるサイバー攻撃部隊は、自動車の自動運転システムや航空管制システムの乗っ取り、自動点滴システムの遠隔操作などの攻撃に、成功している可能性が指摘されています。

 これらから、私たちは何を推測できるのでしょうか。“平和”に慣れた日本人に話すと、こうした状況はアニメや小説の世界として捉えられ、「考えすぎ」「偏っている」というご批判を受けそうです。しかし、「事実は小説より奇なり」なのです。そして、これらの元凶が「Telnet」にあるということをさまざまな専門家も指摘しています。

Telnet

 Telnetは、1983年に「RFC854」で規定された通信規約です。セキュリティー上からは、極めて深刻な“大穴”が多く、現在では建前上、リモートログインを受け付けているサーバーは少なく、リモート通信方法としての利用は推奨されていません。ただ、実際は多くの機器でTelnetが動いているのが確認されています。

 しかも、そのパスワードの多くはデフォルト(製品出荷時に設定された暫定パスワード)のままの脆弱な文字列(例:12345など)で、最も酷いのはパスワードが設定されておらず、小さなIoT機器ではそもそもパスワードの「設定」自体ができない仕様にもなっています。

 数年前、民放でロシアのウェブサイトから(世界中の)監視カメラのリアルタイム画像が見られると報道されました。こういう事象もIoTの現状を示す1つと言えます。警備会社の監視カメラ画像ですら公開サイトから見られたわけですから、本当に「残念過ぎる」としか、言いようがありません。ちなみに放映以前は日本にある監視カメラだけで1万カ所以上もの画像を見ることができましたが、今では(数カ月前)2000カ所程度に減っていました。

 また、以前に組み込みソフトウェアを専門に開発している企業で調査をしたことがあります。この企業に聞くと、開発での受注単価が安く、「セキュリティーのセの字も考えてくれない発注企業の要請で、最低限のガードすらできない」と嘆いていました。なんと1円以下の単価のせめぎ合いがあり、本当に困っているのです。

 IoTで検索してみると、ちまたにはバラ色の未来につながるという解説ばかりが並びます。しかし、私はそれ以上に「恐怖」を感じているのです。

 IoT機器でますます便利になりますが、

  • セキュリティーの設定が甘い
  • そもそもセキュリティーの設定画面がない
  • パスワードの設定ができない
  • パスワードの変更ができない
  • 設定は自由にできるが組み込みソフトそのものに脆弱性があり、2分で設定したパスワードを平文で読めてしまえる

 などが実際に調査した結果でした。

 本当はもっと怖い実態があります。これまでにご紹介したIoTの状況のせいでDDoS攻撃の同時攻撃回数が想定より1000倍以上になってなすすべがなかった企業の問題や、ソースコードの公開によって大騒ぎになった「Mirai」マルウェアの分析など、専門的に調べれば調べるほどIoTの裏のその裏の現実が多々浮かんでくるのです。解説にも切りがありませんので、取りあえずはここまで!

萩原栄幸(はぎわら えいこう)
日本セキュリティ・マネジメント学会代議員、「先端技術・情報犯罪とセキュリティ研究会」主査。社団法人コンピュータソフトウェア著作権協会技術顧問、CFE 米国公認不正検査士
2008年6月まで三菱東京UFJ銀行(現・三菱UFJ銀行)に勤務し、実験室「テクノ巣」の責任者を務める。企業の内部不正やコンプライアンス、サイバー犯罪、情報セキュリティなどのコンサルティング業務を中心に、現在ではCSIRTの構築支援、FinTech、IoT、人工知能、ブロックチェーンなどのセミナー経験を通じた「生き残る地方金融機関」の支援や一般企業のシステム全般のサポートを行い、デジタル技術の活用研究に取り組む。「個人情報はこうして盗まれる」(KKベストセラーズ)や「デジタル・フォレンジック辞典」(日科技連出版)など著書多数。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

  • このエントリーをはてなブックマークに追加

関連ホワイトペーパー

SpecialPR

連載

CIO
月刊 Windows 10移行の心・技・体
ITアナリストが知る日本企業の「ITの盲点」
シェアリングエコノミーの衝撃
デジタル“失敗学”
コンサルティング現場のカラクリ
Rethink Internet:インターネット再考
インシデントをもたらすヒューマンエラー
トランザクションの今昔物語
エリック松永のデジタルIQ道場
研究現場から見たAI
Fintechの正体
米ZDNet編集長Larryの独り言
大木豊成「仕事で使うアップルのトリセツ」
山本雅史「ハードから読み解くITトレンド放談」
田中克己「展望2020年のIT企業」
松岡功「一言もの申す」
松岡功「今週の明言」
内山悟志「IT部門はどこに向かうのか」
林 雅之「デジタル未来からの手紙」
谷川耕一「エンプラITならこれは知っとけ」
大河原克行「エンプラ徒然」
内製化とユーザー体験の関係
「プロジェクトマネジメント」の解き方
ITは「ひみつ道具」の夢を見る
セキュリティ
セキュリティインシデント対応の現場
エンドポイントセキュリティの4つの「基礎」
企業セキュリティの歩き方
サイバーセキュリティ未来考
ネットワークセキュリティの要諦
セキュリティの論点
スペシャル
エンタープライズAIの隆盛
インシュアテックで変わる保険業界
顧客は勝手に育たない--MAツール導入の心得
「ひとり情シス」の本当のところ
ざっくり解決!SNS担当者お悩み相談室
生産性向上に効くビジネスITツール最前線
ざっくりわかるSNSマーケティング入門
課題解決のためのUI/UX
誰もが開発者になる時代 ~業務システム開発の現場を行く~
「Windows 10」法人導入の手引き
ソフトウェア開発パラダイムの進化
エンタープライズトレンド
10の事情
座談会@ZDNet
Dr.津田のクラウドトップガン対談
Gartner Symposium
IBM World of Watson
de:code
Sapphire Now
VMworld
Microsoft Inspire
Microsoft Connect()
HPE Discover
Oracle OpenWorld
Dell Technologies World
AWS re:Invent
AWS Summit
PTC LiveWorx
吉田行男「より賢く活用するためのOSS最新動向」
古賀政純「Dockerがもたらすビジネス変革」
中国ビジネス四方山話
ベトナムでビジネス
日本株展望
企業決算
このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]