毎年年末になると、さまざまなセキュリティベンダーが翌年のセキュリティ脅威動向の予測レポートを発表する。昨年（2016年）末にも、多くのセキュリティベンダーが、2017年（および以後数年間）のセキュリティ脅威と対策に関する予測を発表した。

サイバーセキュリティをめぐる動向は変化が激しく、各社レポートの濃淡もあるが、これらをまとめて見ると一定の「脅威の方向性」が読み取れる。本稿では、昨年発生した事件も振り返りつつ、2017年、企業が警戒すべき新たなセキュリティ脅威のキーワードをまとめてみたい。

第1回である今回は、「IoT」分野におけるセキュリティ脅威をテーマとする。

キーワード「IoT」：IoTは“武器”にも“ターゲット”にもなる

本稿で参照しているほぼすべてのベンダーが、2017年のセキュリティ脅威として挙げているキーワードが「IoT」だ。

昨年版の各社脅威予測でも警告されていたとおり、今後数年で200億台、300億台に達すると言われるIoTデバイスのセキュリティ対策は、全般にまだまだ不十分である。だが他方で、企業におけるIoT活用の気運は一気に高まっている。2017年はサイバー攻撃の“武器”として、さらには“攻撃ターゲット”としても、IoTが注目を集める年になることは間違いない。

“武器”としての効力が実証された「IoTボットネット」の悪用が拡大

まずは攻撃の“武器”としてのIoT、という側面から見てみたい。

昨年は、脆弱性のある数十万台規模のIoTデバイス（Webカメラ）を取り込み、第三者への攻撃の踏み台として悪用する「Mirai」ボットネットが登場し、実際に数百Gbps～1TbpsクラスのDDoS攻撃を引き起こした。PCやモバイルデバイスと比べてパワー（処理能力）の小さいIoTデバイスでも、膨大な台数をボットネット化すれば、強力な武器となることが実証されてしまったわけだ。

トレンドマイクロでは、IoTデバイス側のセキュリティ問題が早急に改善される見込みはなく、今年も引き続き、MiraiのようなIoTボットネットによる攻撃が増加することを予測している。

「IoTデバイスに対するセキュリティ対策は事業者側の対応が伴うため、2017年内に大幅に対策が進む可能性は低く、これらのデバイスを踏み台として悪用するサイバー攻撃は増加するでしょう」（トレンドマイクロ）

フォーティネットでは、Miraiはシャドウネット（従来のツールで観測できないIoTボットネット）としてはまだ「初期段階」のものであり、その威力を実証し終えた今後、シャドウネットによる攻撃手法はさらに高度化していくだろうと指摘する。

「〔次の段階で〕引き起こされる可能性が最も高いのは、身代金の要求を組み合わせた標的型DDoS攻撃です。さらに、データの収集、攻撃の標的化、その他の攻撃の難読化が続くと考えられます」（フォーティネット）

同様にウォッチガードも、IoTボットネットを使った「新たなタイプの攻撃が大量に発生する可能性」を示唆している。攻撃者は、より手軽に“金銭が稼げる”方向へと攻撃を変化させていくようだ。

「大規模〔IoT〕ボットネットによるクリックジャッキング攻撃やスパム攻撃を開始し、従来のコンピューターボットネットと同じ方法を新たな攻撃に取り入れて、金銭を要求するようになるでしょう」（ウォッチガード）

脆弱性の「ない」IoTデバイスであっても、設置により攻撃リスクが高まる

IoTデバイスが企業内部に設置されるケースが増えるにつれて、IoTデバイスが“攻撃のターゲット”になることも予測されている。正確に言えば、堅牢なセキュリティを備えた企業ネットワーク／企業システムに対する攻撃の“突破口”として、IoTデバイスを踏み台とするものだ。

たとえばマカフィー（インテル セキュリティ）では、次のように述べている。ここで留意してほしいのは、IoTデバイスそのものに「脆弱性がない」場合でも、設置によってリスクが高まる点だ。

「〔脆弱性の〕問題のないデバイスでも、適切な分離やセグメント化が行われていないネットワークに接続してしまうと、信頼された環境〔内部ネットワーク〕への侵入を許してしまうことになります。このような場合でも、現場からは『正常に動作しているのだから触るな』というクレームが出ます。結果として、IoTデバイスが様々なシステムや組織への侵入経路となる可能性があります」（マカフィー）

フォーティネットでは、クラウドプラットフォームへの不正侵入の足がかりとしてIoTデバイス（を含むエンドポイントデバイス）が悪用され、「クラウドのセキュリティにおける最大の弱点」になる可能性があるとしている。

「エンドポイントデバイスを攻撃することによって、この〔クラウドプラットフォームの〕信頼モデルを損なうよう設計された攻撃が、クライアント側の攻撃を引き起こし、これによって実質的にクラウドプロバイダーが標的となって侵害を受ける可能性があると予想されます」（フォーティネット）

ここで指摘されているような攻撃を防ぐためには、IoTデバイスそのものの脆弱性を慎重に調べることよりも、IoTデバイスがアクセスできる内部ネットワークやリソースを適切に（必要最小限に）制限し、たとえIoTデバイスへの攻撃が成功してもそれ以上の侵入は許さない環境を構築することに注力すべきではないだろうか。攻撃者のターゲットはIoTデバイスそのものではなく、その先にある企業のシステムであり、機密データである。

加えて、マカフィーでは、IoTデバイスを導入する企業が「初歩的ミス」を犯しがちである点にも注意を促している。その背景には、デバイスを導入する主体が必ずしもIT部門とは限らないという事情もあるはずだ。

「〔IoTデバイスを導入する〕企業の大多数はインターネット接続経験をほとんど持っておらず、デフォルトのパスワードを使用する〔……〕、不要な権限レベルを付与する、脆弱性にパッチを適用しない（あるいは、適用できない）、などの初歩的ミスを犯すことが予測されます」（マカフィー）

なお、IoTデバイスだけでなく、多数のIoTデバイスを統合管理するためのコントロールプレーン（管理ツール）や、デバイスから収集したデータが集まる「アグリゲーションポイント」も有力な攻撃ターゲットになりうると、マカフィーでは指摘している。

IIoT：社会インフラや産業制御システムへの攻撃をIoTが可能にする

具体的な攻撃ターゲットとなるIoT分野として、複数のベンダーが「IIoT」（インダストリアルIoT）システムを挙げている。IoTシステムを足がかりに、エネルギーや交通などの重要社会インフラや、産業プラントなどを制御するシステム（ICS、SCADAなど）を攻撃する狙いだ。攻撃が成功すれば、その被害や影響は甚大なものになる。

これまでこうした産業制御システムは、インターネットとは物理的に隔離されているケースがほとんどであり、インターネット経由での攻撃は困難だった。だが、インターネットを介してセンサーデータなどを取り込み活用するIIoTの世界になると、その障壁は取り除かれることになり、攻撃者としては大きなチャンスが得られる。

「一般論として、サイバー＝フィジカルシステムとIoTの普及は、攻撃者がそのコネクティビティを悪用し、大規模な破壊を引き起こす新たなチャンスを与えてしまいます」（ファイア・アイ。原文は英文）

「IoTの中でも制御システム（SCADA）など、社会インフラで活用されているシステム（IIoT）の脆弱性も複数発見されており、これらのシステムがサイバー攻撃により停止させられた場合には、企業・個人ともにこれまでにない大きな危険にさらされる可能性があります」（トレンドマイクロ）

懸念すべき点は、こうした産業制御システムでは、長期間にわたって無停止で安定稼働することが最優先となっており、セキュリティパッチの適用までに時間がかかることである。チェック・ポイント・ソフトウェア・テクノロジーズでは、従来のIT環境だけでなく、OT環境（産業制御システムなどの環境）も包括的に保護するソリューションの適用を訴えている。

「情報技術（IT）と運用技術（OT）の融合により、特にOT環境の脆弱性が高まります。〔……〕製造業ではシステムと物理的なセキュリティ対策を論理的な領域まで拡張し、IT環境とOT環境をまたぐ包括的な脅威対策ソリューションを導入する必要があります」（チェック・ポイント）

なおフォーティネットでは、普及が進むスマートビルディングやスマートシティへの攻撃も勢いを増すだろうと予測している。これらの制御システムも、産業制御システムと同様に、強固なセキュリティ対策がとられていない傾向にある。

IoTデバイスのサプライチェーン汚染、ライブラリへの不正コード混入

さて、こうした攻撃を可能にしてしまうIoTデバイスの脆弱性は、今後減少していくのだろうか。前掲したトレンドマイクロの予測コメントにもあるとおり、「2017年内に大幅に対策が進む可能性は低い」というのが、各ベンダーに共通する見解のようだ。

フォーティネットでは、あるメーカーが開発した1つのIoTコンポーネントに潜む脆弱性が、複数メーカーのIoTデバイスに影響を及ぼす「サプライチェーンのポイズニング」の可能性を指摘している。多くの場合、デバイスメーカー自身でIoT対応コンポーネントを開発するよりも、他のメーカーから供給を受けて組み込むほうがずっと安上がりだからだ。特に、安価なコンシューマー向けIoTデバイスにおいて、こうした危険性が高まるだろう。

「複数の〔IoTデバイス〕ベンダーがOEMベンダー1社から購入したIoTコンポーネントを、あらゆるデバイスに組み込んで販売するようになるでしょう。つまり、1件の脆弱性を突くセキュリティ侵害が、複数のメーカーが複数のブランドや名称で販売する数十あるいは数百の異なるデバイスにわたって繰り返し実行される可能性があります」（フォーティネット）

この発想をさらに推し進め、マカフィーのブルース・スネル氏は、無償提供されるライブラリのコードに対し、攻撃者がひそかにバックドアを仕込む可能性に言及している。

「特定のメーカーを狙ったり、コードベースの侵害を行うよりも、広範囲で利用されているコード ライブラリにバックドアを追加し、多くのIoTデバイス メーカーに無償で提供したほうが簡単に攻撃を実行できます。〔……〕今後12か月から18か月の間に、広範囲で利用されているライブラリに潜む不正コードや、市販のIoT機器に直接埋め込まれた不正コードが見つかる可能性があります」（マカフィー、Bruce Snell氏）

攻撃者が不正コードを仕込む可能性の高いライブラリの具体例として、スネル氏は「HTMLレンダリング ライブラリ」「ネットワークライブラリ」「カメラライブラリ」を挙げている。

IoTデバイスメーカーの説明責任が問われる年に

昨年のMiraiボットネット事件においては、その原因となった防犯カメラ／IPカメラを製造した中国のメーカー（XiongMai Technologies）が、脆弱性のある製品のリコールを発表している。報道によると、同社製のカメラモジュールにはrootパスワードがハードコーディングされており、インターネット経由で改修することはできなかったようだ。

「セキュリティに乏しいデバイスがひとたび市場に出回れば、その問題を是正するには、リコールするかセキュリティアップデートを発行するしかありません」（シマンテック）

数百万台規模のリコールとなると、デバイスメーカーの損害は甚大だろう。そしてもちろん、該当する製品をすべて回収／改修できる保証もない。

フォーティネットでは、今年は「IoTメーカーがセキュリティ侵害に対して説明責任を負うことになる」と予測している。ネットワークなどの制御で攻撃を抑止できる企業向け製品とは異なり、コンシューマー向けIoTデバイスでは防御手段がほとんど存在しないため、特にコンシューマー市場ではデバイスメーカーの責任問題に直結するだろう。

「IoTメーカーが即座に直接的な〔セキュリティ対策の〕アクションを起こさなければ、経済的な損失を被るだけでなく、製品に関連するセキュリティ侵害の説明責任を課す法規制の対象となるでしょう」（フォーティネット）

さらに過激な予測をしているのがカスペルスキーだ。IoTデバイスメーカー自身が責任を認めず、積極的な対処も行わない場合、ハッカーが自らの手で問題を解決すべく“善意で”私的制裁を実行し、そうしたデバイスの息の根を止めてしまうだろうというものだ。

「脆弱なデバイスをレンガのように積み上げてメーカーに突き返すよりも効果的な方法は何でしょうか？〔……〕〔ハッカーが脆弱性を突いて〕脆弱なデバイスが全て無効にされる恐れがあります。レンガのインターネット（Internet of Bricks）が現実のものとなる可能性が高まっています」（カスペルスキー）

なおIoTデバイス、特にコンシューマー向け製品においては、セキュリティと並んで「プライバシー」の問題も浮上してくる。たとえばマカフィーでは、個人の行動を監視、分析することのできるIoTデバイスによって「消費者のプライバシーが著しく低下する」ことを予測している。各国で法制度の整備に向けた取り組みも進むことになるだろう。

＊　＊　＊

以上、今回はIoTに関する2017年のセキュリティ脅威予測をまとめてみた。ほぼすべてのベンダーがIoTを今年の脅威として捉えているため、IoTだけでずいぶん紙幅を費やしてしまった。「ランサムウェア」などその他のセキュリティ脅威や、防御側での新たなセキュリティ対策の動向などは、引き続き本稿の次回以降で見ていきたい。