仮想通貨取引所コインチェックから、580億円相当の仮想通貨が流出したニュースが世間を揺るがしている。金融庁は2日、改正資金決済法にもとづき立ち入り検査を開始し、資産管理方法や安全対策について調べている。同庁は先月29日、同法にもとづく業務改善命令を出しており、命令からわずか4日間という立ち入り検査は異例の速さとのこと。
仮想通貨に関しては、以前から価格の高騰にあわせて、セキュリティに対する不安も叫ばれてきた。昨年12月に、仮想通貨の採掘(マイニング)環境を提供するスロベニアのナイスハッシュが、ハッカーに6400万ドル(およそ70億円)相当のビットコインをウォレット(保管口座)から盗まれた事件もあったばかりだ。
1月には、仮想通貨を採掘するマシンに感染して、マイニングソフトのウォレットアドレスを書き換えてしまい、収益を横取りするマルウェア「Satori Coin Robber」が発見された(New botnet infects cryptocurrency mining computers, replaces wallet address | Ars Technica)。
IoT端末に感染するマルウェア「Mirai」(関連記事)から派生した「Satori」をベースに、仮想通貨マイニングの収益を奪い取るために作られたものだという。すでにボットネット(コンピューターウイルスなどによって多くのパソコンやサーバに遠隔操作できる攻撃用プログラムボットを送り込み、外部からの指令で一斉に攻撃を行わせるネットワーク)の構築が確認されており、攻撃を続けているとのこと。
Satori Coin Robberは、仮想通貨「イーサリアム」などをマイニングするソフトウェア「Claymore Mining」を利用するパソコンに感染し、仮想通貨ウォレットアドレスを攻撃者のものに書き換える。感染に気付かないかぎり、攻撃者のために仮想通貨をマイニングし続けることになってしまうのだ。
Miraiの後継的なマルウェアでもあるためか、感染の経路も似ている。Claymore Miningのデフォルト設定で特定のポートがパスワードでロックされていないことを突いて侵入する仕組みになっているという。
Satori Coin Robber自体は仮想通貨をマイニングするマシンを狙うマルウェアではあるが、IoT機器を狙うマルウェアから派生したものだと考えると、「自分は仮想通貨には手を出さない」という人にとっても他人事ではない。IoTを利用した家電が普及しているのみならず、社会インフラや工場にある制御システムもIoT化の流れが進んでいるため、今後はこのようなマルウェアの標的になるおそれがある。
「IoT機器のユーザー名とパスワードを変えたことがない」というような人たちは、悪意を持った攻撃者にとって、格好の標的になってしまうかもしれない。IoT機器を狙うマルウェアの存在が確認された場合、機器の認証情報を初期設定から変更し不正アクセスの可能性を減らす、ソフトウェアおよびファームウェアを更新し脆弱性攻撃を防ぐなどの対策が有効だ。
仮想通貨の普及やIoT化の流れが進めば、ユーザー側もセキュリティーへの意識を持つことが肝心になってくる。意図せず犯罪に巻き込まれないためにも、パスワードを変えるなどの基本的な対策は欠かさないようにしたい。今回はIoTシステムに対する攻撃への知識を学ぶため、McAfee Blogから「WannaCry騒動で明らかになったIoT/OTに迫る危機」を紹介しよう。
WannaCry騒動で明らかになったIoT/OTに迫る危機
2017年5月12日(GMT)に登場し、日本のみならず世界中に影響を及ぼしたランサムウェア「WannaCry」の一件は、記憶に新しいことでしょう。被害は150カ国以上に広がり、約35万件以上の感染が報告されています。
「『ランサムウェア』自体は昨年から大流行していましたし、脆弱性を突いてネットワークに接続しているだけで感染する『ワーム』もポピュラーなものです。しかし、この2つが結び付いたことで、脅威が顕在化したのではないでしょうか」と、マカフィー株式会社 シニア セキュリティ アドバイザー 佐々木 弘志(セールスエンジニアリング本部 サイバー戦略室)は説明しています。
佐々木はさらに、「WannaCry」の登場は、Internet of Things(IoT)やOperation Technology(OT、制御システム)のセキュリティに一石を投じるものだと指摘します。事実Twitterのタイムラインには、PCの画面だけでなく、駅のデジタルサイネージや銀行ATM、さらには小売店鋪の端末や工場の制御端末など、さまざまな機器がWannaCryに感染し、「Ooops, your files have been encrypted!」という画面が表示されている様子が投稿されていました。
「ただ、WannaCryがIoTやOTシステムを狙ったというわけではなく、これらは『流れ弾』が当たったものと考えるべきだと思います。というのもWannaCryの主な機能は、金銭を要求することです。パソコンのようなIT機器とは異なり、これらIoT/OT機器は、身代金を支払って、暗号を解除するためのインターフェイスを備えていません。お金を払う手段がないのですから、直接IoTやOTシステムを狙ったということではないと考えられます。」(佐々木)
逆に言えば、流れ弾でさえこれだけの被害が生じてしまったわけです。佐々木は「IoTが普及し、さまざまな端末がインターネットに接続されることによって、こうした脅威が現実のものになることが示されました。おそらく、ITシステム管理者が把握していないリモートメンテナンス用のポートが開いているなどして、そこから感染が広がった可能性があります」と佐々木は述べ、この事実を受け止め、脅威のさらなる凶悪化に備えるべきだと警告します。
●より凶悪化して再登場していた「Shamoon」
というのも、それを裏付ける動きも見られるからです。実は、WannaCry騒動の影に隠れてあまり目立たなかったのですが、マカフィーではこの時期、興味深い攻撃についてのレポートを公開しています。それが、サウジアラビアのエネルギー関連会社や官公庁や金融機関をターゲットにした「Shamoon」です。
Shamoonが初めて登場したのは2012年のことでした。サウジアラビアの特定の石油企業を狙い、感染すると重要なデータごとマスターブートレコードを消去してしまい、ITシステムが起動しなくなってしまうというものでした。
この第二弾と見られる攻撃が、2016年11月に発生しました。やはり、感染するとファイルをワイプ(消去)してしまうものですが、ターゲットは、特定企業にとどまらず、エネルギー関連企業や官公庁、金融機関にも広がり、またスピアフィッシング用のメールの文面がこなれたものになるなど、4年前に比べ手口も高度化しています。マカフィーでは解析の結果、一連の攻撃は同じ犯行グループによるものと判断し、注意を呼び掛けています。
「ShamoonがWannaCryと違うのは、金銭目的ではなく破壊を目的にしていることです。この攻撃では、仕掛けた側が儲かるわけではありません。にも関わらず、非常に高度で手の込んだ攻撃を、お金をかけて実行しています。このことから、おそらく何らかの国家主体がスポンサーとなった集団が、政治的な目的をもって、この攻撃を実行していると思われます。」(佐々木)
●IoTやOTシステムの破壊を目的としたマルウェアがワーム的に拡散したら?
その上で佐々木は、ワームとランサムウェアが組み合わさったWannaCryが大きな影響を与えたように、ShamoonとWannaCryのような攻撃が組み合わさり、大きな被害を及ぼす可能性を懸念しています。
「もしIoTやOTシステムを停止させることを目的にするならば、デバイスや端末にマルウェアを感染させて、Shamoonのようにワイプしてしまえばすみます。IoTが普及したり、OTシステムであっても何らかの形でインターネットにつながる機器が増えています。この中で一歩間違いが起こり、ワイプ系の攻撃がワームのように広がる『Next Shamoon』が登場すれば、OTシステムの情報が全て消し去られ、破壊される可能性もあります。IT系ならばPCを取り替えればすむでしょうが、制御システムがいったん停止すれば、バックアップに切り替えるとしても、その間の操業停止等による損失は膨大なものになるでしょう。」(佐々木)
これは決して、遠い国の絵空事と片付けるわけにはいかない問題です。脆弱性やそれを悪用するツールの情報は公表されています。WannaCryですらこれだけの騒ぎになったのですから、Shamoonのような破壊的なマルウェアが脆弱性を突いて自動的に広がったらと考えると、ぞっとするものがあります。
では、私たちにできる対策とは何でしょうか。佐々木は、これまで別々に運用されてきたITとOTの部門が連携し、統合されたガバナンスの基で運用・管理していく必要があると述べています。WannaCryの一件で明らかになったとおり、IT部門が把握していない「裏口」がIoTやOTシステム側に存在する可能性があるからです。「『OTはよろしく』で、ITだけをしっかり管理していればいい時代は終わりました。脅威がそれを追い越してしまっている状況です。」(佐々木)
その上で、IoTやOTシステムにおけるファイアウォールや暗号化といった対策をうんぬんする以前に、機器管理から始めるべきと言います。「CERT機関から何らかの脆弱性が公表されたり、WannaCryのようなマルウェアが登場したときに、自社の管理する機器が感染しているかどうか、あるいはこれから感染する可能性があるかどうかを確認し、経営層に報告するための調査が必要です。特にIoTやOTシステムは、IT部門の機器管理とは別管理になっているケースが多いため、確認作業は毎回大変なものとなるでしょう。」と佐々木は述べ、ITだけでなくOTに関しても、動いているOSのバージョンは何で、パッチは当たっているのかの管理が必要だと指摘しました。
こうした対策を推進するには、何より「人」の連携が欠かせません。IT担当とOT担当の話はなかなか嚙み合わないと言われますが、一方でリスクを認識し、ワーキンググループを作って取り組み始めた企業もあります。ただでさえ人手不足が叫ばれていますが、時にはOT機器のベンダーも交え、ITとOTにまたがるガバナンスとマネジメントを実現することが重要です。
1つだけいいニュースを挙げるとすれば、現時点では、IoTやOTシステムに対する攻撃は初歩的なものが大半を占めていますので、不要な通信ポートのチェックや機器のパスワードの見直しなどの基本的な対策であってもそれなりに効果が期待できます。いつか来るかもしれない本気の攻撃に備え、ぜひ今から準備を整えていただければと思います。
【関連記事】
IoT時代のセキュリティを考える(1) : IoT時代の安心・安全とは?
IoT時代のセキュリティを考える(2) : 安心への取組みと課題
