日本政府、国内の脆弱なIoTデバイスを調査へ

2019年2月7日

日本政府は、十分に保護されていないIoTデバイスの問題に対処するため、国民のデバイスに大規模な侵入テスト(ペネトレーションテスト)を実施するという大胆な計画の実施を発表しました。

総務省と情報通信研究機構(NICT)は、日本国内で使われているIoTデバイス2億台の「調査」を実施することを発表。ルーターやWebカメラを対象にスタートするこの調査では、NICTのホワイトハットチームが、デフォルトの認証情報と、過去の攻撃で何度も使われている推測しやすいパスワードを使って、インターネット上で検出されたデバイスへのログインを試みます。

保護の不十分なデバイスが発見されると、電気通信事業者に通知されます。電気通信事業者はこれを受け、当該デバイスを使用している個人や企業との協力の下、セキュリティの強化に当たります。

日本政府は、来年東京で開催される夏のオリンピックを見据え、今年3月からこの調査を開始する予定です。総務省によると、2016年に発生したサイバー攻撃全体の3分の1をIoTデバイスへの攻撃が占めていました。ハッカーが夏季オリンピックの混乱を狙う可能性があることから、IoTデバイスへの攻撃が増加すると同省は予想しています。

このような懸念には理由があります。韓国で昨年開催された平昌冬季オリンピックの開会式を、Olympic Destroyerというマルウェアが妨害したのは有名な話です。このマルウェアを仕掛けた「Hades」という集団は、その正体および動機が不透明なまま、現在でもさまざまな標的への攻撃を続けています。オリンピック以外にも、VPNFilter(英語記事)のような破壊的IoTボットネットが作り出され、標的とするデバイスにルートキットやデータ抜き出し機能、ワイパーマルウェアがインストールされる懸念もあります。また、Miraiなどのボットネットは、大規模なDDoS攻撃の実施にIoTボットネットが驚くほど効果的であることを証明しました。

Tripwire社の脆弱性調査チーム(VERT)のセキュリティリサーチャーであるクレイグ・ヤング(Craig Young)氏は、セキュリティを侵害されたIoTデバイス周りに別の懸念があるとして、メールで次のように指摘しています。

「場合によっては、大規模なIoTセキュリティ侵害のリスクが、インターネットを超えて広がるかもしれません。十分な数のスマートコンセント、サーモスタット、電化製品を掌握した攻撃者なら、需要を急増させてインフラに大きな負荷をかけ、生活に不可欠なエネルギーや上下水道などの公共サービスを混乱に陥れることが可能かもしれません。国中で数百万個の照明が一斉についたり消えたりしだしたら何が起こるか、本当に分かっている人はいるでしょうか。膨大な数のサーモスタットがいきなり最高温度に設定されたら、どんなことになるでしょうか」

ヤング氏はさらに「少数派の意見かもしれませんが、この日本政府の措置は当然だと思います」とも述べています。

IoTデバイスの利用者がデバイスのログイン情報をデフォルトのまま変更せず、ファームウェアのアップデートもしないという地域特有の問題に加え、セキュリティバイデザイン(最初からセキュリティを念頭に置いて開発すること)がまだ浸透していない状況、そしてデバイスがセキュリティ侵害されているかどうかの判断が難しいという事実を考え合わせると、日本政府の計画はセキュリティの観点から見て確かに筋が通っていると言うことができます。

また、NordVPN社のデジタルプライバシー専門家、ダニエル・マーカソン(Daniel Markuson)氏は次のように述べています。「IoT業界はまだ始まったばかりなので、サイバーセキュリティ上のリスクとなる可能性はほぼ全デバイスにあります。市場参入を急ぐあまり、大半のメーカーがセキュリティ面に目をつぶっています。この観点から言えば、日本政府の懸念には価値があります」

しかし、日本国民の見方は少し違っており、消費者の間でプライバシーを心配する声が高まっていることが報告されています。マーカソン氏は、こう指摘します。「このやり方は行き過ぎのように思われます。全ユーザーに対してセキュリティに関する警告を送るなり、メディアを介して人々に知らせるなりの方法でも、同じ結果を得られる可能性があるからです。また、調査に当たってほかにどういった機密データが収集される可能性があるのか、それがどのように扱われるのかについても、明らかにされていません」

一方、ヤング氏は違った見方をしています。「個人的見解ですが、これが政府による国民のプライバシーの侵害かどうかという問いは、見当違いです。対策を何も講じなければ、これらのデバイスは脆弱性を抱えたままであり、見つけてやろうという考えを持つ者によってアクセスを受けるかもしれません。したがって、問うのであれば、政府の誰かが脆弱性を見つけて一般の人々に知らせるのと、悪意を持つ人々が脆弱性を見つけるまで放っておくのと、どちらがよいか、と問うべきです」