このページの本文へ

いま知っておきたい、デルのテクノロジー

デル・セキュアワークスのペネトレーションテストとは?

こんなに怖い! IoT時代の不正アクセスとその対策

2014年12月10日 11時00分更新

文● NERD@ASCII.jp、イラスト●安谷隆志

  • この記事をはてなブックマークに追加
  • 本文印刷

 ASCII.jp編集部はだめなナードの集まりである。技術好きなオタクである彼らは、見果てぬITの未来を求めて日夜くだらない議論を続けている。要はITサイコー、テクノロジーこそエクスタシーが信条の集団である。知識はときに適当で、理屈はおおむね机上の空論だが、ごく稀に役立つ情報やアイデアが出てくることもある。この連載は、狭い編集部の片隅で、妄想という名の夢を語らう、風呂敷だけを広げた議論の記録である。

 「今日も寒いな~……っておい、もう深夜だぞ! 集まるならもっと早い時間にしようや」
 「仕方ないですよ。昼間に仕事サボってこんなことやってたら怒られますし」
 「ITの未来について語らうのも仕事のうちだろ!」
 「そういうことは、原稿の締め切りをきちっと守ってから言いましょうね」
 「……」
 「お~い、今日は新しいメンバーを連れてきたぞ~」
 「何!? 物好きなやつもいるもんだな。歓迎……ってうわっ!

もう遠くない、ロボットのいるハイテク家庭

 「コンニチハ、Nerd(ナード)デス」
 「なにこれ!? ロボット!? どうして編集部に!?」
 「某社で開発中の等身大人型ロボット、一日だけ貸してもらえたんだ」
 「ヨロシクオ願イシマス。仲良クシテクダサイネ」

 「凄い、ちゃんと会話できてるじゃないか。いやあ、未来と言えば、やっぱロボットだよなぁ~
 「最近盛り上がってますよね、家庭用ロボット。一般家庭にロボットが行きわたった時期といえば、2000年前後にペットロボットのブームなんかがありましたけど、大手メーカーが事業から撤退したりして、気付いたら数年で下火になってました。人型ロボットに至っては、当時は全然実用段階じゃなかった」

ロボット掃除機はここ数年でメジャーに

 「でもさ、よく考えてみればロボット掃除機だって家庭用ロボットなんだよな。もうかなり日常の風景に馴染んでる感じがする。あと自治体にもよるけど、意外と介護福祉ロボットの導入が進んでたりするよな。世話をするんじゃなくて、喋ったり踊ったりして見てる人を癒す、いわゆるロボットセラピーってやつ。動物型のロボットはアレルギーの心配もないし、噛んだり引っ掻いたりもしないから、アニマルセラピーの代わりに使われて評価されてるんだよ。ロボットが人の生活に溶け込むなんて何十年も先のことみたいに思ってたけど、実は俺たちが思ってるよりずっと社会に普及してるんじゃないか?」
 「ドウデス、凄イデショ」
 「おっ、Nerdくん。アピールしてくるねえ」

人型ロボットが家庭に溶け込む日が近づいている?

 「6月に国内で発表された人型家庭用ロボットは、価格20万円台っていう安さにも注目が集まってたよね。まだ採算が取れる段階じゃなくて、将来的に大量生産でコストダウンしたり、月額利用料やアプリケーションで利益を上げたり、いくつかのビジネスモデルを考えてるみたい。これだけ価格を下げられれば、人型ロボットが一家に一台、ってのも夢じゃないかもね。もちろん、二足歩行とか自然言語処理とか、技術的な課題はまだまだ多そうだけど」

 「家事をみんなロボットがやってくれる時代、早く来ねえかな。掃除ロボットが掃除をして、炊飯ロボットがご飯つくって、風呂焚きロボットが風呂沸かして……」
 「ロボットの奥さんでももらったらいいんじゃないですか? 結婚できなそうだし」
 「余計なお世話だよ!」
 「ボク、男デスケドソレデモイイデスカ。ナンチャッテ」
 「あはは! ジョークも言えるなんて、Nerdくんはなかなか芸達者じゃないか!」

進むIoT、実は危険と隣り合わせ?

 「話が逸れちゃいましたけど、今日の議論のテーマ、IoT(Internet of Things)の未来についてですよね」
 「あ、そうだった。すっかり忘れてた」
 「IoT? ソレハナンデスカ?」
 「この前も話しましたけど、ざっくり説明すると、あらゆるものをネットワークに繋げて、情報を報告させて効果的にそれを活用する仕組みのことです。例えばスマート家電はIoTを構成するパーツの1つですよね。将来的に各家庭でIoT化が進めば、さっき話に出ていたような、センサーで部屋の汚れ具合を確認して自動的に掃除ロボットが動き出したり、消費電力を家全体で管理して最適化してくれたりっていう、家事の自動化も可能になるでしょうね。人型ロボットを一台導入すれば、自宅全体のセンサーで得た情報を集約し、話しかけることで家事を取り仕切ってくれる、執事のような存在になるかもしれません」

スマホから遠隔操作できるスマート家電も増えつつある

 「SF映画みたいなことが可能になるわけだよな。スマート家電、今のうちに買っておこうかなあ」
 「でも、いろんなものをネットワークに繋げるのってけっこうリスキーだよね。利便性は高まるけど、同時に不正アクセスの対象にもなるわけだから。実際、昨年末から今年にかけて、大規模なスマート家電のハッキングが起きてるんだよ。ネットワークに繋げたテレビとか冷蔵庫とかから、数十万通のスパムメールが送信されてる。現状のスマート家電はセキュリティーの脆弱性が高いなんて言われているし……」
 「うわあ。冷蔵庫からスパムが届くなんて、考えたくねえなあ。……冷蔵庫の中身の変化をカメラで撮影して確認できるようなガジェットもあるけど、もしかしたらアレもクラッカーに覗き見られたりするかもしれないってことか。自分の姿だけじゃなくて、食べてるものまで盗み見られるのって嫌な感じだな」
 「怖イデスネ~」

ネットワーク接続が可能なクルマはすでに登場している。自動運転など、未来に期待は大きいが……

 「スタンドアローンで稼働していた身の周りの機器がネットワークに繋がり始めると、これまで考えもしなかったような事件や事故が起こりかねないですよ。例えばクルマ。最近では電子制御されている自動車は珍しくないですが、車種によってはBluetoothなどの無線ネットワークと、ステアリングやブレーキが同じネットワーク上で制御されているそうです。クルマとBluetooth接続した携帯電話から侵入して、遠隔操作で急ブレーキ、なんてことも可能みたいですよ。自動走行を実現するなんて話も出てますけど、そうなると余計に怖いですよね。もうハッキング実験は行われていて、成功している例があります。実際に事件として確認されてはいないみたいですけど」
 「怖イデスネ~、怖イデスネ~」
 「そんなこと、今もし起きても警察は事故として処理しちゃうんじゃないか?」

 「かもしれないね。あと、もちろん危険なのは一般家庭だけじゃない。交通機関、電気やガスみたいなインフラも、ネットワークに繋げて集中管理するようになれば例外なく不正アクセスの標的になる。通信機能を持ち、電力をデジタルで計測するスマートメーターが少しずつ普及してるけど、電力と情報通信のネットワークが一体化しちゃうと、いつか個人のクラッカーが都市全体の電力をマヒさせるような日が来るかもしれない」

ネットワークに接続した機器は、例外なくハッキングの対象となる可能性がある。利便性とセキュリティーはトレードオフの関係にある

 「うーん。技術の進歩は夢があるけど、それを扱う危険も増えるってことだな。このご時世、ネットワークに繋げるなってわけにもいかないし、結局はセキュリティーを強化するしかないんだよな」
 「そうですね。社会全体でセキュリティーを念頭に置いたシステム作りをしていく必要があるし、人材の育成も重要です。最終的には優秀な人材頼みですから。ただ、企業ごとに人材を確保するのも限界があると思うので、今後はITセキュリティーサービスを提供しているベンダーの需要がますます高まっていくと思いますよ。デル・セキュアワークスなんかがいい例ですね。世界的にサービスを展開していて、元アメリカ政府やサイバー軍、研究機関あがりの、いわば本場の人材が多数参加しています」
 「へえ~。アメリカの元サイバー軍って、聞くだけでなんか凄そうだな!」
 「怖イデスネ~、怖イデスネ~」

 「何より、プロに現状を分析してもらえるっていうのはやっぱり大きいですよ。監視や常駐サポートのサービスもありますし。しかも、要望があれば、実際に顧客のネットワークや情報資産にハッキングしてみせるんだそうですよ」
 「オイオイ、いいのかよそんなことして!」

 「ペネトレーションテストってやつだよね。実際にハッキングしてみれば、侵入経路はどこか、どの情報がどの程度守られているか、一目で分かる。万全を期すなら必要なテストだよ。でも、そんなことできる人を間近に見せられたら、ちょっと怖いかも」
 「なるほど、凄いなあ。ネットワークに繋がる機器が増えたら、熟練したセキュリティー従事者の重要性がますます高まるってことか」
 「そうですね。でも、国内のセキュリティー従事者の人材不足は特に深刻だと言われています。日本ではセキュリティーを保護するという意識がまだまだ希薄なんじゃないかと思いますね。まあ、これから嫌でも考えなくちゃいけない世界がやってきますよ」
 「怖イデスネ~、怖イデスネ~」

 「……なあ、このNerdくん、さっきから同じセリフばっか繰り返してるけど大丈夫か?」
 「ナンダヨ! ウルセェナ! バカニシテンノカ!」
 「うわっ! Nerdくんが突然キレた!」
 「オ前ノ個人情報ヲネットニバラ撒イテヤル! ○野○太、24歳独身、○○県○○市……」
 「え、ちょっと! 何でそんなこと知ってんだ! やめてくれー!」
 「Nerdくん、まさかハッキングに……!?」

 「お~い、みんな~!」
 「あっ、お前、ネットワーク管理部の! 今日は姿が見えないと思ったら! ちょっと助けてくれよ、このNerdくんがハッキングされて……」
 「Nerdくんのことなら心配いらないよ」
 「えっ?」
 「実は今、セキュアワークスが社内ネットワークのペネトレーションテストを実施してるんだ。そのNerdくんは、攻撃に成功したテスターがネットワーク経由で操ってるのさ」
 「ドーモ、デル・セキュアワークスデス」
 「マジかよ! どうりで受け答えが自然すぎると思った!」

顧客のネットワークをハッキング!?
デル・セキュアワークスのペネトレーションテストとは?

 デル・セキュアワークスは、顧客のセキュリティー体制の強化のため、顧客の要望に応じてペネトレーション(侵入)テストを実施する場合がある。実際のハッキングと同じ手法でネットワークに侵入し、リスクにさらされている情報を見分け、現状行われているセキュリティー対策を評価、さらなる対策を講じるのが目的だ。

 米国で実施されたテストの実例を紹介する。まず、テスターはとある顧客に対し、社外からネットワークへの侵入を試みる。侵入の手がかりとなるのは、不特定多数の人間がアクセス可能なanonymousログインが許可されたFTPサービスだ。FTPデータ内の情報を繋ぎ合わせ、ウェブサイトのバックアップや人事・IT担当者などの情報をプロファイルしていく。社内データベース管理システムへの接続情報を発見し、侵入は成功した。

デル・セキュアワークスは、世界トップレベルのITセキュリティーサービスを提供している

 データベース管理システムからは、重要な情報へのアクセスが可能だ。社員の自宅の住所、電話番号、メールアドレス、社員IDの情報を含むコンタクト情報が含まれていることもあるし、アプリケーションでデフォルトのユーザー名とパスワードが使用されていたり、パスワードの複雑さの強制が存在しないなど、ずさんな管理の実態も明らかになってしまう。

 侵入に成功し、普通はここでテスト終了……となるのだが、セキュアワークスのペネトレーションテストでは、実際にその後どこまでの権限にアクセスできるのかを検証する場合もあるという。この顧客ネットワークの場合、クラックしたハッシュ情報をローカルにダンプし、ツールによってパスワードを抜いていくと、最終的にはドメインコントローラーのアクセス権を獲得できた。こうなると、あらゆる権限に管理者権限でアクセス可能となる。人事のデータベースにアクセスして社員の個人情報や社会保障番号を閲覧、勝手に内容を変更することも可能だし、リアルタイムでの監視カメラ映像やイベントシステムの閲覧、空調処理システムやエレベーターの操作など、やりたい放題だ。

 ペネトレーションテストに必要不可欠なのが、セキュリティーを熟知した人材であることは言うまでもない。デル・セキュアワークスのテストが単なる侵入成功で終わらず、ネットワークのさらに奥深くまで潜っていけるのは、元米国政府、サイバー軍、研究機関などに所属した経験のある、1000人以上の優秀な人材を揃えている何よりの証だ。

用語解説

ロボットセラピー:ロボットを使って対象に安心感や癒しを与える手法のこと。高齢者福祉・介護の分野ではすでに導入が進んでいる。動物型ロボットでは、本物の動物とのふれあいに近い効果を生み出せるという検証結果もあるという。

IoT:Internet of Things。「モノのインターネット」化などと訳される。PCやネットワーク機器など従来の範囲を逸脱し、家具や家電、文房具などあらゆるものがネットに接続し、状態や情報を交換できる世界をあらわしている。

スマート家電:テレビや冷蔵庫、洗濯機などのうち、スマートフォン経由でネットワークに接続するものを指す。遠隔操作やデータの管理が可能。

ハッキング:コンピューターやネットワークに侵入する行為のこと。もともとハッキングという言葉自体に不正侵入の意味合いはなく、悪意のある侵入は正式にはクラッキングと呼ばれる。

スパムメール:受信者の意向に関わらず、無差別・大量に送信される電子メールのこと。特定企業の広告を伴うものが多い。迷惑メール。

クラッカー:ITについて常人より深い知識や技術を持つハッカーのうち、悪意のある行為(クラッキング)を行う人々を指す。

Bluetooth:モバイル機器用の近距離無線通信規格。主にノートPCやスマートフォンなどのデジタル機器同士をワイヤレス接続する際に使用する。

スマートメーター:本体に通信機能を持ち、電力をデジタル計算する次世代の電力量計。近年、普及が進んでいる。

アメリカサイバー軍:2010年に創設された、アメリカ軍のサイバー戦を担う統合部隊。陸・海・空軍および海兵隊の実働部隊によって組織されており、サイバー空間における軍事作戦、国防総省のネットワーク防衛などの任務を計画・遂行する。

この連載の記事