メニュー

IoT機器・システムへの脅威とリスク:IoTセキュリティの基礎知識8

IoTセキュリティの基礎知識

更新日:2017年8月10日(初回投稿)
著者:アルテア・セキュリティ・コンサルティング 代表 二木 真明

これまで、IoTにおいての情報セキュリティの基本的な考え方を解説してきました。第7回では、暗号技術の重要なポイントについて取り上げました。情報を守るためには、堅固なセキュリティ対策が欠かせません。最終回では、セキュリティ対策がなぜ必要なのかについて考えてみましょう。

今すぐ、技術資料をダウンロードする!(ログイン)

1. WannaCryとPetyaの衝撃

2017年5月12日、欧州を中心に広大なエリアで、大規模なランサムウェア攻撃が発生しました。セキュリティベンダーがWannaCry(ワナクライ・図1)やWannaCrypt0r(ワナクリプタ)と名付けたこのマルウェアは、コンピュータのデータを勝手に暗号化して使用不能にし、データの復旧と引き替えに身代金(ランサム)をビットコインで支払うように要求しました。このような身代金要求型のマルウェアを一般に、ランサムウェアと呼びます。

図1:ランサムウェアの感染時に表れるメッセージ(イメージ)

図1:ランサムウェアの感染時に表れるメッセージ(イメージ)

ランサムウェアは近年、さまざまな種類が確認されています。しかし、WannaCryにはこれまでのランサムウェアにない特徴がありました。それは、マイクロソフトのOSであるWindowsで発見されたぜい弱性を攻撃して、自動的に拡散する点です。これまでは一般的に、メールなどで送りつけられたランサムウェアを被害者が開くことで感染し、そのコンピュータで感染がとどまっていました。しかしWannaCryは、2000年代前半に猛威を振るったコンピュータワーム(Computer Worm)というマルウェアと同様に、感染後にネットワークを探索し、ぜい弱性のあるコンピュータを自ら見つけて攻撃します(図2)。つまり、もし同じネットワーク内にぜい弱性のあるコンピュータが存在する場合、1台が感染すると短時間で他のコンピュータも感染してしまうのです。

図2:WannaCryの感染活動

図2:WannaCryの感染活動

実はこの特性が原因で、WannaCryはPCだけでなく、サーバやWindowsを組み込みOSとして使用する機器など、ランサムウェアの感染が予期されていなかったコンピュータへも感染を広げました。欧州やロシアなどを中心に、キオスク端末や銀行のATM、駅の表示板などがランサムウェアに感染し、これらの機能が停止したため社会的な混乱が発生しました。オーストラリアでは警察が管理する道路の監視システムが感染したため、速度違反の取り締まりが不可能になりました。これらはネットワークを経由して感染したことが分かっています。しかし、基本的にインターネットに接続されていないネットワークへ、最初にどうやって感染したのかは、いまだに不明です。感染したPCの持ち込みや、別のサイバー攻撃によるものなど、感染の可能性はいくつかあり、真相は特定されていません。そのため、事件の背後に国家機関など高度な技術を有するグループの存在が、ささやかれているぐらいです。

その後、2017年6月にはPetya(ペトヤもしくはペチャ)と呼ばれる新たなマルウェアが登場し、再び欧米を中心としたエリアで機器各種に感染を広げました。Petyaは、当初、同じ名前で2016年に現れたランサムウェアの亜種とされましたが、その後、身代金を支払っても一切復旧できないことが明らかになりました。つまり、身代金目的のランサムウェアではなく、システムに障害を引き起こす目的で作られたマルウェアだったのです(そのため、一部のセキュリティベンダーはNotPetyaと改称しました)。その後、WannaCryにも亜種が作られ、同7月現在、まだ多くのコンピュータや機器に感染を広げています。このWannaCryの亜種もまた、復旧不可能な攻撃専用のマルウェアといわれています。日本の主要な企業でも、これらの感染で業務停止などの被害が生じています。

前述のマルウェアは、必ずしもIoTが標的ではありません。しかし、ネットワーク感染能力を持つために、一般のコンピュータだけでなく、ぜい弱性がある機器にも感染を広げてきました。この状況を利用すれば、PCやサーバを狙う標的型攻撃の入り口として、IoT機器がマルウェアに感染させられる可能性が出てきます。または、IoTシステムへの感染への入り口として、一般のコンピュータを経由することも考えられます(図3)。つまり、WannaCryやPetyaによって、IoT機器がより大規模かつ広範囲なサイバー攻撃の足場として利用される可能性が実証されたわけです。この手法が使われれば、PCやサーバからマルウェアを除去しても、IoT機器に潜んでいたマルウェアから攻撃されて再感染するという、モグラたたき状態になる恐れがあります。

図3:IoTを利用した標的型攻撃(RAT:Remote Administration Tool 遠隔操作型のマルウェア)

図3:IoTを利用した標的型攻撃(RAT:Remote Administration Tool 遠隔操作型のマルウェア)

WannaCryやPetya(Not Petya)は、米国の情報機関であるNSA(National Security Agency)からハッカー集団が盗み出したサイバー攻撃ツール(Windows SMBバージョン1のぜい弱性に使われるもの)が用いられていたことでも話題となりました。該当するぜい弱性に対し、事件発覚直後の2017年3月にはマイクロソフトから修正プログラムが配布されています。しかし、感染したコンピュータの多くがこの修正を適用していなかったため、被害は大規模になりました。とりわけIoT機器では、いまだにセキュリティ更新の重要性に対する認識が低く、多くがぜい弱性を残したままです。図4は、筆者のオフィスで観測した、Windows SMB(TCP445番ポート)へのスキャン(探索)活動の推移です。WannaCryがヨーロッパを中心に拡大した日本時間5月13日未明に、グラフ上で大きなピークが見られます。ぜい弱な機器がインターネットに直接つながっていれば、日本でも感染した可能性は高いでしょう。

図4:WannaCryに伴うWindows SMB(TCP445番ポート)へのスキャン活動

図4:WannaCryに伴うWindows SMB(TCP445番ポート)へのスキャン活動

具体的なサイバー攻撃対策もチェック!(イプロス製造業)

2. Windowsだけではないマルウェア攻撃

OSがWindowsではないからといって、安心はできません。すでにLinux(オープンソースのOS)を搭載したIoT機器へのマルウェア感染も、大きな問題になりつつあります。Mirai(ミライ)と呼ばれるマルウェアは、Linuxを使用した機器で非管理のtelnet接続を悪用して感染を広げます。発見から時間がたった現在でも、多くのウェブカメラやHDDレコーダーなどが感染されており、IoTでのマルウェア対策が困難であることを物語っています。

続きは、保管用PDFに掲載中。ぜひ、下記よりダウンロードして、ご覧ください。

3. サイバー攻撃で狙われるIoT機器

保管用PDFに掲載中。ぜひ、下記よりダウンロードして、ご覧ください。

4. IoTシステムのリスク評価

保管用PDFに掲載中。ぜひ、下記よりダウンロードして、ご覧ください。

具体的なサイバー攻撃対策もチェック!(イプロス製造業)

  • セミナー5月
  • 販促_無料出展

ピックアップ記事

tags

  • 特集バナー0520_01
  • 特集バナー0520_02
  • 特集バナー0520_03
  • 特集バナー0513_01
  • 特集バナー0513_02
  • 特集バナー0513_03
  • 特集バナー0513_04
  • 基礎知識一覧