サイバー兵器、IoTセキュリティ、仮想通貨の悪用――悪夢を終わらせるためになすべきこと、CODE BLUE 2018基調講演
インターネットを“悪夢”から救うために、ミッコ・ヒッポネン氏
2018年11月19日 07時00分更新
ままならないIoTセキュリティの現実
サイバー空間における脅威は、これら以外にも数多く存在する。特に悩ましいのは、IoTだ。
監視カメラやルーターをボット化させてDDoS攻撃に利用したマルウェア「Mirai」を調査していたヒッポネン氏は、ある法律事務所の三菱製ヒートポンプがボット化し、攻撃の踏み台になっていることを突き止めた。「その事務所に電話をかけて『御社のヒートポンプがDyn(米大手DNSサービス事業者)にDDoS攻撃をしている』と伝えたところ、『へぇ! そりゃクールだな!』と返してきた」。従来のITシステムとは異なり、IoTデバイスの場合は管理者がサイバーセキュリティについて意識しているとは限らない。
「コネクテッドデバイスに対する世間一般の危機感は薄い。Mirai事件も、その認識を変えるまでの効果はなかった。たとえばスマート冷蔵庫は、ハッキングされても庫内にあるものがわかってしまう程度だから問題ないと思われがちだ。しかし、攻撃者は冷蔵庫の中身に興味があるわけではない。スマート冷蔵庫が接続されたネットワークの先に関心があるのだ」
IoTデバイス(コネクテッドデバイス)を狙うマルウェアが次々と登場している
だからといって、スマート冷蔵庫にセキュリティ機能が実装されるかというと、そうはならないのが現状だ。「スマート家電を購入するとき、ファイアウォールが搭載されているかどうかなど誰も気にしないし、メーカー側も消費者が求めていない機能をわざわざ実装したりはしない」。IoTセキュリティにはこうした悪循環が生じていると、同氏は指摘する。
デジタル化がビジネス成功の鍵となった現在、あらゆる企業がソフトウェア企業であると認識を改めるべきであり、そのうえで何らかの攻撃に遭遇することも想定して対策を考えるべきだと、ヒッポネン氏は強調した。
ビジネスのデジタルトランスフォーメーションによって「すべての企業はソフトウェア企業になった」
「『Fortune 500のうち、何らかのハッキング被害を受けている可能性のある企業は何社あるか』という質問に、私なら『500社すべて』だと答える。私たちセキュリティ企業は何年にも渡って、誰も侵入できない頑丈な金庫を作ってきた。侵入されないので、庫内にモーションセンサーなんて不要だと思ってきた。だが、もはや防御は鉄壁ではない。防御が失敗することを想定し、コンピューター以外にまで広がった保護対象のセキュリティを私たちは考える必要がある」
夢を悪夢で終わらせないためにできることは何か?
インターネットの登場で思い描いた夢は、悪夢に変わりつつある。25年前に与えられたユートピアは、組織的犯罪、国家によるスパイ活動やサイバー戦争の場となった。また、社会や経済がコンピューター制御で支えられる現在、パソコンからIoT、重要インフラまで、守る対象は幅広い。
「セキュリティの仕事は、社会を守ることに等しい。そんな重大な責任が、私たち“コンピューターオタク”の双肩にかかっている」
だからこそ、私たちは夢を悪夢に変えぬよう、より一層の努力をしなければならないとヒッポネン氏は強調した。知識やスキルをさらに磨き、失敗を想定し、新たな脅威に対して柔軟かつ迅速に対応できるよう頑張らなければならない。
「私たちはどんなインターネットを次世代に引き渡すことができるのか」
ヒッポネン氏が最後に会場へ投げかけた問いに、私たちはどんな答えを出すことができるのだろうか。セキュリティという仕事のあり方を見つめ直し、少しでも明るい未来を描いて次世代にバトンを渡すために何ができるのか、改めて考えさせられる基調講演だった。
