「IoTボットネットの猛威」「IIoTへの攻撃」など、ベンダー各社の2017年予測を読む
2017年のセキュリティ脅威はこうなる!11社予測まとめ《IoT編》
2017年01月10日 07時00分更新
IIoT:社会インフラや産業制御システムへの攻撃をIoTが可能にする
具体的な攻撃ターゲットとなるIoT分野として、複数のベンダーが「IIoT」(インダストリアルIoT)システムを挙げている。IoTシステムを足がかりに、エネルギーや交通などの重要社会インフラや、産業プラントなどを制御するシステム(ICS、SCADAなど)を攻撃する狙いだ。攻撃が成功すれば、その被害や影響は甚大なものになる。
これまでこうした産業制御システムは、インターネットとは物理的に隔離されているケースがほとんどであり、インターネット経由での攻撃は困難だった。だが、インターネットを介してセンサーデータなどを取り込み活用するIIoTの世界になると、その障壁は取り除かれることになり、攻撃者としては大きなチャンスが得られる。
「一般論として、サイバー=フィジカルシステムとIoTの普及は、攻撃者がそのコネクティビティを悪用し、大規模な破壊を引き起こす新たなチャンスを与えてしまいます」(ファイア・アイ。原文は英文)
「IoTの中でも制御システム(SCADA)など、社会インフラで活用されているシステム(IIoT)の脆弱性も複数発見されており、これらのシステムがサイバー攻撃により停止させられた場合には、企業・個人ともにこれまでにない大きな危険にさらされる可能性があります」(トレンドマイクロ)
懸念すべき点は、こうした産業制御システムでは、長期間にわたって無停止で安定稼働することが最優先となっており、セキュリティパッチの適用までに時間がかかることである。チェック・ポイント・ソフトウェア・テクノロジーズでは、従来のIT環境だけでなく、OT環境(産業制御システムなどの環境)も包括的に保護するソリューションの適用を訴えている。
「情報技術(IT)と運用技術(OT)の融合により、特にOT環境の脆弱性が高まります。〔……〕製造業ではシステムと物理的なセキュリティ対策を論理的な領域まで拡張し、IT環境とOT環境をまたぐ包括的な脅威対策ソリューションを導入する必要があります」(チェック・ポイント)
なおフォーティネットでは、普及が進むスマートビルディングやスマートシティへの攻撃も勢いを増すだろうと予測している。これらの制御システムも、産業制御システムと同様に、強固なセキュリティ対策がとられていない傾向にある。
IoTデバイスのサプライチェーン汚染、ライブラリへの不正コード混入
さて、こうした攻撃を可能にしてしまうIoTデバイスの脆弱性は、今後減少していくのだろうか。前掲したトレンドマイクロの予測コメントにもあるとおり、「2017年内に大幅に対策が進む可能性は低い」というのが、各ベンダーに共通する見解のようだ。
フォーティネットでは、あるメーカーが開発した1つのIoTコンポーネントに潜む脆弱性が、複数メーカーのIoTデバイスに影響を及ぼす「サプライチェーンのポイズニング」の可能性を指摘している。多くの場合、デバイスメーカー自身でIoT対応コンポーネントを開発するよりも、他のメーカーから供給を受けて組み込むほうがずっと安上がりだからだ。特に、安価なコンシューマー向けIoTデバイスにおいて、こうした危険性が高まるだろう。
「複数の〔IoTデバイス〕ベンダーがOEMベンダー1社から購入したIoTコンポーネントを、あらゆるデバイスに組み込んで販売するようになるでしょう。つまり、1件の脆弱性を突くセキュリティ侵害が、複数のメーカーが複数のブランドや名称で販売する数十あるいは数百の異なるデバイスにわたって繰り返し実行される可能性があります」(フォーティネット)
この発想をさらに推し進め、マカフィーのブルース・スネル氏は、無償提供されるライブラリのコードに対し、攻撃者がひそかにバックドアを仕込む可能性に言及している。
「特定のメーカーを狙ったり、コードベースの侵害を行うよりも、広範囲で利用されているコード ライブラリにバックドアを追加し、多くのIoTデバイス メーカーに無償で提供したほうが簡単に攻撃を実行できます。〔……〕今後12か月から18か月の間に、広範囲で利用されているライブラリに潜む不正コードや、市販のIoT機器に直接埋め込まれた不正コードが見つかる可能性があります」(マカフィー、Bruce Snell氏)
攻撃者が不正コードを仕込む可能性の高いライブラリの具体例として、スネル氏は「HTMLレンダリング ライブラリ」「ネットワークライブラリ」「カメラライブラリ」を挙げている。
IoTデバイスメーカーの説明責任が問われる年に
昨年のMiraiボットネット事件においては、その原因となった防犯カメラ/IPカメラを製造した中国のメーカー(XiongMai Technologies)が、脆弱性のある製品のリコールを発表している。報道によると、同社製のカメラモジュールにはrootパスワードがハードコーディングされており、インターネット経由で改修することはできなかったようだ。
「セキュリティに乏しいデバイスがひとたび市場に出回れば、その問題を是正するには、リコールするかセキュリティアップデートを発行するしかありません」(シマンテック)
数百万台規模のリコールとなると、デバイスメーカーの損害は甚大だろう。そしてもちろん、該当する製品をすべて回収/改修できる保証もない。
フォーティネットでは、今年は「IoTメーカーがセキュリティ侵害に対して説明責任を負うことになる」と予測している。ネットワークなどの制御で攻撃を抑止できる企業向け製品とは異なり、コンシューマー向けIoTデバイスでは防御手段がほとんど存在しないため、特にコンシューマー市場ではデバイスメーカーの責任問題に直結するだろう。
「IoTメーカーが即座に直接的な〔セキュリティ対策の〕アクションを起こさなければ、経済的な損失を被るだけでなく、製品に関連するセキュリティ侵害の説明責任を課す法規制の対象となるでしょう」(フォーティネット)
さらに過激な予測をしているのがカスペルスキーだ。IoTデバイスメーカー自身が責任を認めず、積極的な対処も行わない場合、ハッカーが自らの手で問題を解決すべく“善意で”私的制裁を実行し、そうしたデバイスの息の根を止めてしまうだろうというものだ。
「脆弱なデバイスをレンガのように積み上げてメーカーに突き返すよりも効果的な方法は何でしょうか?〔……〕〔ハッカーが脆弱性を突いて〕脆弱なデバイスが全て無効にされる恐れがあります。レンガのインターネット(Internet of Bricks)が現実のものとなる可能性が高まっています」(カスペルスキー)
なおIoTデバイス、特にコンシューマー向け製品においては、セキュリティと並んで「プライバシー」の問題も浮上してくる。たとえばマカフィーでは、個人の行動を監視、分析することのできるIoTデバイスによって「消費者のプライバシーが著しく低下する」ことを予測している。各国で法制度の整備に向けた取り組みも進むことになるだろう。
* * *
以上、今回はIoTに関する2017年のセキュリティ脅威予測をまとめてみた。ほぼすべてのベンダーがIoTを今年の脅威として捉えているため、IoTだけでずいぶん紙幅を費やしてしまった。「ランサムウェア」などその他のセキュリティ脅威や、防御側での新たなセキュリティ対策の動向などは、引き続き本稿の次回以降で見ていきたい。