せきゅラボ研究結果 第19回

ギャリー・デイビス氏（米国マカフィー セキュリティ エヴァンジェリスト）に訊く

2018年、我々は悪意ある者たちが「プレイブック」を変更した世界を歩く

米国マカフィー（McAfee LLC）のチーフコンシューマ セキュリティ エヴァンジェリスト兼グローバルコンシューママーケティング担当バイスプレジデントを務めるギャリー・デイビス氏にお話を伺った

　2017年10月26日、マカフィー株式会社は2018年版の個人向けセキュリティ製品を発表した。同社のオンラインストアおよび量販店にて、11月30日（木）から販売が開始される。総合セキュリティ対策製品「マカフィー リブセーフ」では、クラウドベースの機械学習に対応した「リアルプロテクト」機能がさらに強化された。

　そのリリースを前に、米国マカフィー（McAfee LLC）のチーフコンシューマ セキュリティ エヴァンジェリストであるギャリー・デイビス氏に、最新のセキュリティ動向を中心にさまざまなお話を伺った。聞き手はテレビでお馴染みのITジャーナリスト 三上洋氏。

IoTデバイスを狙う脅威に注目

ギャリー・デイビス氏。米国マカフィー（McAfee LLC） チーフコンシューマ セキュリティ エヴァンジェリスト。最新のセキュリティ動向に通じ、啓蒙活動としてさまざまなメディアにも登場している

三上洋氏。携帯電話（料金、業界、有害サイト対策）、パソコンのセキュリティ（ウイルス、詐欺などへの安全対策）、節約・お得系（クレジットカード、ポイント、電子マネー）などを広く網羅するITジャーナリスト。最近はワイドショーなどテレビ出演も多い

三上　まずは、この1年ほどで、英語圏で起きた特徴的なセキュリティ事象を教えてください。というのも、日本では英語圏から1年～2年遅れて同様の事象が発生することが多いので、参考にしたいと考えています。

デイビス　じつは、2018年2月に開催されるMobile World Congressに向けてIoTデバイスを10台ほど入手しました。弊社のチーフサイエンティストにそれらを渡し、脆弱性をチェックしてもらうことになっています。

三上　何か気になることが？

デイビス　2015年にHP社がIoTホームセキュリティデバイス10機種のセキュリティを調査しました。すると、すべてのデバイスに25もの脆弱性が認められたというのです。我々も同様の調査を進め、Mobile World Congressで公表しようと考えています。

三上　つまりIoTデバイスにセキュリティ問題が多いと。

デイビス　ここ数年で最もよく知られているIoTの脅威は「Mirai」でしょう。それが目的を変え、作り替えられています。大規模DDoS攻撃だけでなく、ビットコインマイニングやSQLインジェクションといった行為が、Mirai亜種のボットネットによって可能になっているのです。

　また最近では、「Reaper」というMiraiを強化したようなボットネットが登場しています。ReaperとMiraiの大きな違いは、Miraiがネット上のIoTデバイスをスキャンしてそのユーザー名やパスワードを特定するのに対し、ReaperはIoTの既知の脆弱性を見つけ出してそこにマルウェアを埋め込んでいきます。

　2016年、弊社のラボの研究者の1人が、市販されているデジタルビデオレコーダーを購入して、箱から出したままの状態でネットワークに接続するというテストを実施したところ、わずか64秒で乗っ取られる、ということがありました。つまり、IDやパスワードがデフォルトの状態では、これほどまでに速くマルウェアが侵入するのです。

　また、7月に開催されたBlack Hat USA 2017でも、興味深いデモを見る機会がありました。ネットワークに接続されたIoT洗車場システムのデモです。IoT洗車機にセキュリティがまったく施されていなかったために、システムを容易に乗っ取ることが可能だったのです。デモでは、洗車機の入り口のシャッタードアがクルマのボンネットの上に降りてきて攻撃する様子が示されました。

　デジタルビデオレコーダーの実験、そしてIoT洗車機の衝撃的な映像を見て、私はIoTデバイスのセキュリティが深刻な事態にあると感じ、チームに話して特に家庭向けデバイスについての調査を実行するように指示したのです。

洗車場がネット接続されていること自体衝撃的だが、クルマに直接触れる機械だけあって、乗っ取られた場合の被害も甚大だ

　来年のMobile World Congressでは、マカフィーとしては「IoT暖炉」のようなサンプルを用意できるかと思っています。たとえばそれが攻撃を受け、燃焼の制御を乗っ取られたら家が燃えるような事態になりますからね。