新たな攻撃ターゲットはIoTと制御システム、攻撃目的にも変化の兆し
2016年はこんな脅威が!セキュリティベンダー10社予測まとめ(前編)
2016年01月05日 09時00分更新
毎年年末になると、さまざまなセキュリティベンダーが翌年のセキュリティ脅威動向の予測レポートを発表する。昨年(2015年)末にも多くのベンダーから2016年の動向予測が発表された。
各社がカバーするフィールドは少しずつ異なり、レポートの濃淡もあるが、そこからは一定の「脅威の方向性」が読み取れる。各社レポートに基づき、2016年に企業が警戒すべき新たなセキュリティ脅威をまとめてみたい。まず前編は、「攻撃ターゲット」と「攻撃の目的」の変化についてだ。
本稿で参照したレポート一覧●
インテル セキュリティ(マカフィー)/
シマンテック/
トレンドマイクロ/
カスペルスキー/
ESET/
ファイア・アイ/
フォーティネット/
ジュニパーネットワークス/
EMC RSA事業本部/
ウォッチガード
攻撃ターゲット:ほぼすべてのベンダーが「IoTが狙われる」と警告
まずは、2016年に「攻撃ターゲット」となるものを見ていこう。もちろん、従来から狙われてきたサーバーやPCも引き続き狙われる。だが、新たなターゲットとなるものとして2つが指摘されている。
まず、ほぼすべてのセキュリティベンダーが共通して挙げているのが「IoTデバイスのハッキング」の脅威だ。IoTの急速な普及に伴って、企業向け、消費者向けのどちらの市場においても見逃せない脅威となるだろう。
各社ともIoTデバイスを狙う攻撃の発生を警告している(画像はシマンテックより)
ただし「IoTデバイス」と一口に言っても、自動車(コネクテッドカー)や医療機器から、産業用センサー、POSシステム、家庭用HDDレコーダー、電化製品、スマートウオッチ、おもちゃまで、その言葉が指す範囲はとても広い。それぞれのデバイスの利用目的や機能に対応して、さまざまな攻撃目的が予測されている。
攻撃目的の1つは、他のシステムを攻撃したり、クローズドなネットワークに侵入したりするための「足がかり」として悪用するというものだ。たとえばフォーティネットでは、次のように述べている。
「IoTは『land and expand』型の攻撃の主な標的となると予測しています。この攻撃は、接続されている顧客のデバイスの脆弱性をハッカーが利用し、それらが接続している企業ネットワークやハードウェアへの足掛かりにするというものです」(フォーティネット)
こうした形の攻撃そのものは目新しいものではない。これまでも、たとえば家庭用のブロードバンドルーターやNAS、HDDレコーダー、ネットワーク対応カメラなどは、その脆弱性が他システムに対する攻撃の踏み台として悪用されてきた。ただし、これから大量のIoTデバイスが企業から家庭にまで浸透していくことで、こうした攻撃がより活発化するのは間違いない。
警察庁では昨年12月、HDDレコーダーなどLinuxベースのIoTデバイスに対する攻撃を観測し、警告している
同様に、Bluetoothなどで近距離のマシンにだけ接続するデバイス(ウェアラブルデバイスなど)も、スマートフォンやPCにマルウェアを混入させるための足がかりとして悪用されると予測されている。
「ハッカーにとってウェアラブルデバイスに侵入しても直接的なメリットはありません。……重要な点はウェアラブルがスマートフォンに接続していることです」(インテル セキュリティ)
さらには、直接IoTデバイス間で感染を拡大するタイプのマルウェアも発生する可能性がある。これまであまり想定されてこなかったものだが、脆弱性を持つ特定のデバイスが普及すれば、大きな脅威になるかもしれない。
「伝搬、存続が可能な少量のコードを使ってヘッドレスデバイスを感染させることが可能であることを、FortiGuardの研究者らはすでに示してきました。デバイスからデバイスへと伝搬できるワームやウイルスは、間違いなく登場するでしょう」(フォーティネット)
「〔2016年は〕IoTデバイスのファームウェアを完全に書き換えて乗っ取る、POC型攻撃が発生すると予想しています。……IoTデバイスの開発に携わっている方には、……〔デバイスのセキュアブート化という〕動向を調査していち早く対応することをお勧めします」(ウォッチガード)
フォーティネットでは、IoTデバイス間で直接感染を広げるワーム/ウイルスの発生を予測している
攻撃ターゲット:IoTデバイス攻撃を通じて人命被害や社会的混乱も
他システムを攻撃する「足がかり」としてではなく、IoTデバイス自身を誤動作させたり、物理的な損傷を与えたりすることを目的とした攻撃も増加しそうだ。
特に、これからは自動車や医療機器、産業制御システム(後述)といった、誤動作や破壊によって人命にかかわる被害や社会的混乱をもたらすIoTデバイスが増えてくる。そうしたデバイスをめぐる攻撃と防御の様相は、今後数年間で大きく変化していくだろう。
「2015年には、自動車、医療機器、ドローン、さらにはリモコン付き電動スケートボードでさえも、ハッキングされうることが明らかになりました。2016年には、消費者と企業向けのIoTデバイスにおける物理的な損害やビジネスへの大きな混乱がもたらされる状況を目の当たりにするでしょう」(ジュニパー)
「2020年には……コネクテッドカーが2億2,000万台に増加すると予測されている。攻撃者もそこを狙ってくるはずだ。……〔2016年には〕実被害は発生しないまでも、〔IoTデバイスをハッキングするための〕さまざまなコンセプト実証コードや脆弱性が見つかるだろう」(インテル セキュリティ)
自動車がIoT化(コネクテッド化)することで、攻撃者の侵入口も大幅に増える。インテル セキュリティでは一例として15カ所の侵入経路を挙げている
また、ランサムウェア(身代金要求型のマルウェア)がIoTデバイスを狙うようになるという予測もある。デバイスの操作をロックしたり、デバイス内のデータをロック(暗号化)したりしたうえで、「ロックを解除してほしければ身代金を払え」と脅迫するわけだ。
「インターネットに接続されたモノがランサムウェアに『人質』に取られ、『身代金』を要求されることも考えられます」(ファイア・アイ)
前述したとおり、IoTは広範な概念であり、実際にはそのデバイスもシステムアーキテクチャもまちまちである。セキュリティ対策も、それぞれの領域で検討していかなければならない。したがって、IoTデバイス/システムを提供するメーカー、導入するユーザー企業、セキュリティベンダーの三者が協力し合い、対策のあり方を本気で考えていく年ともなるだろう。
(→次ページ、重要社会インフラを支える制御システムへのサイバーテロ)
