最近、社会のさまざまなところでIT系の用語を耳にする機会が急激に増えてきました。そこで今回は、その中から「IoT」について私見を交え解説したいと思います。極めて「くせ」のある解説になることはご容赦ください。
IoT
IoTはネット上で以下のように解説されています。
モノのインターネット(物のインターネット、英語: Internet of Things:IoT)とは、様々な「モノ(物)」がインターネットに接続され(単に繋がるだけではなく、モノがインターネットのように繋がる)、情報交換することにより相互に制御する仕組みである。それによるデジタル社会(クロステック)の実現を指す。(Wikipediaより抜粋)
読者の皆さんは、こういう内容の解説を目にされてきたことでしょう。以前、IoTとサイバーセキュリティーの関係で、NHKの「NHKスペシャル」や「サイエンスZERO」などで横浜国立大学 准教授の吉岡克成さんが解説されました。ここでは吉岡さんの解説の内容とそこではお伝えされなかった内容を踏まえて私見で解説してみます。
2年ほど前に行われた調査だけでも、「マルウェアに感染した機器」は、監視カメラやDVD/BDビデオレコーダー、ルーター、モデム、NAS(ネットワーク接続ストレージ)、IP電話、アナログ電話アダプター、駐車管理システム、ディスプレイ制御システム、センサー監視装置、ビル制御システム、ウェブカメラ、ホームオートメーション、ゲートウェイ、太陽光発電管理システム、電力需要監視システム、映像配信システム、デジタル音声レコーダー、ビデオエンコーダー/デコーダー、ケーブルテレビのセットトップボックス、ヒートポンプ、火災報知システム、MRI(医療機器)、指紋スキャナー、病院の自動点滴システム、エックス線診療システムなどなど、多岐に渡っていました。
統計学的推論ではありませんが、今までの状況から私見を述べると、恐らく世界中のIoT機器の1億台以上が既にマルウェアに感染していると考えています。
10年ほど前、JPCERT コーディネーションセンターとテレコムアイザック(現ICT-ISAC)、そして日本の主要なインタープロバイダー15社によるリアルなインターネット環境での計測において、PCの1.5%前後がボットに感染しているという状況が報告されました。その当時から鑑みて現在の様子は、決して大げさではないと考えています。
また、「ATP28」「APT29」と呼ばれる国家とのつながりがあるとされるサイバー攻撃部隊は、自動車の自動運転システムや航空管制システムの乗っ取り、自動点滴システムの遠隔操作などの攻撃に、成功している可能性が指摘されています。
これらから、私たちは何を推測できるのでしょうか。“平和”に慣れた日本人に話すと、こうした状況はアニメや小説の世界として捉えられ、「考えすぎ」「偏っている」というご批判を受けそうです。しかし、「事実は小説より奇なり」なのです。そして、これらの元凶が「Telnet」にあるということをさまざまな専門家も指摘しています。
Telnet
Telnetは、1983年に「RFC854」で規定された通信規約です。セキュリティー上からは、極めて深刻な“大穴”が多く、現在では建前上、リモートログインを受け付けているサーバーは少なく、リモート通信方法としての利用は推奨されていません。ただ、実際は多くの機器でTelnetが動いているのが確認されています。
しかも、そのパスワードの多くはデフォルト(製品出荷時に設定された暫定パスワード)のままの脆弱な文字列(例:12345など)で、最も酷いのはパスワードが設定されておらず、小さなIoT機器ではそもそもパスワードの「設定」自体ができない仕様にもなっています。
数年前、民放でロシアのウェブサイトから(世界中の)監視カメラのリアルタイム画像が見られると報道されました。こういう事象もIoTの現状を示す1つと言えます。警備会社の監視カメラ画像ですら公開サイトから見られたわけですから、本当に「残念過ぎる」としか、言いようがありません。ちなみに放映以前は日本にある監視カメラだけで1万カ所以上もの画像を見ることができましたが、今では(数カ月前)2000カ所程度に減っていました。
また、以前に組み込みソフトウェアを専門に開発している企業で調査をしたことがあります。この企業に聞くと、開発での受注単価が安く、「セキュリティーのセの字も考えてくれない発注企業の要請で、最低限のガードすらできない」と嘆いていました。なんと1円以下の単価のせめぎ合いがあり、本当に困っているのです。
IoTで検索してみると、ちまたにはバラ色の未来につながるという解説ばかりが並びます。しかし、私はそれ以上に「恐怖」を感じているのです。
IoT機器でますます便利になりますが、
- セキュリティーの設定が甘い
- そもそもセキュリティーの設定画面がない
- パスワードの設定ができない
- パスワードの変更ができない
- 設定は自由にできるが組み込みソフトそのものに脆弱性があり、2分で設定したパスワードを平文で読めてしまえる
などが実際に調査した結果でした。
本当はもっと怖い実態があります。これまでにご紹介したIoTの状況のせいでDDoS攻撃の同時攻撃回数が想定より1000倍以上になってなすすべがなかった企業の問題や、ソースコードの公開によって大騒ぎになった「Mirai」マルウェアの分析など、専門的に調べれば調べるほどIoTの裏のその裏の現実が多々浮かんでくるのです。解説にも切りがありませんので、取りあえずはここまで!
- 萩原栄幸(はぎわら えいこう)
- 日本セキュリティ・マネジメント学会代議員、「先端技術・情報犯罪とセキュリティ研究会」主査。社団法人コンピュータソフトウェア著作権協会技術顧問、CFE 米国公認不正検査士 2008年6月まで三菱東京UFJ銀行(現・三菱UFJ銀行)に勤務し、実験室「テクノ巣」の責任者を務める。企業の内部不正やコンプライアンス、サイバー犯罪、情報セキュリティなどのコンサルティング業務を中心に、現在ではCSIRTの構築支援、FinTech、IoT、人工知能、ブロックチェーンなどのセミナー経験を通じた「生き残る地方金融機関」の支援や一般企業のシステム全般のサポートを行い、デジタル技術の活用研究に取り組む。「個人情報はこうして盗まれる」(KKベストセラーズ)や「デジタル・フォレンジック辞典」(日科技連出版)など著書多数。
