「モノのインターネット」時代のセキュリティ

2013年6月27日

2011年後半、中国のハッカー集団が米商工会議所のネットワークに徹底的な攻撃を加え、大きな被害をもたらす数々のバックドアを設置していたことが明らかになりました。商工会議所が明らかにしたところによると、ハッカー集団はシステムに無制限にアクセス可能で、メールデータや国際貿易政策に関する文書、企業間会議の資料など、あらゆるものを盗み取っていたそうです。商工会議所全体が、もはや珍しくもないAPT型攻撃の被害に遭っていたことになります。似たような攻撃が多数発生している中で、筆者がこの件を記憶している理由はただ1つです。ハッキング後の復旧作業のときに、キャピトルヒルにある商工会議所所有の建物で使われていたサーモスタットが中国のIPアドレスと通信していることがわかったのです。

モノのインターネット-title

これを読んでいる皆さんも、たった5年前にはインターネットにアクセスなどしていなかったものが、今はネットに接続されているのを目の当たりにすることがあるでしょう。これこそが「モノのインターネット(Internet of Things)」と呼ばれるものです。インターネットはかつて、コンピューターとサーバーをつなぐハブの役割を果たしていました。今では「モノのインターネット」が非常に急速に広まり、筆者には一体どこまでが「コンピューター」とみなされるのかよくわかりません。自動車、家庭用電化製品、医療機器、電話機、ビデオゲーム機など、ほとんどあらゆる機器にIPアドレスが付与され、インターネットに接続されています。Googleはインターネットに接続されたメガネを開発しましたし、筆者はビールの樽からツイートできるといううわさを聞いたこともあります。

ネットワークに接続されているデバイスが多いほど、攻撃者がネットワークに侵入するチャンスが増えます。簡単に言えば、あらゆるデバイスはネットワークへの入口、さらに踏み込んで言えば、ネットワーク内のマシンへの進入路となるのです。

ネットワークセキュリティは迷路である、と考えてみてください。出口と入口が多いほど、抜け出すのが簡単になります。同じように、ネットワークに接続されているデバイスが多いほど、攻撃者がネットワークに侵入するチャンスが増えます。簡単に言えば、あらゆるデバイスはネットワークへの入口、さらに踏み込んで言えば、ネットワーク内のマシンへの進入路となるのです。

BYOD(Bring-Your-Own-Device:私有デバイスの業務利用)を採用する企業が増えていることも相まって、システム管理者とIT部門にとっては悪夢のような状況になっています。たくさんの従業員(最新技術への理解度は人によって異なる)が多種多様なデバイスを企業ネットワークに接続していることを考えると、確かに恐ろしくなります。ですがヘルプデスクで汗を流しているわけではない人にとっては、漠然とした脅威でしかありません。

モノのインターネットには、もっと明確な脅威があります。AppleやGoogle、Microsoftなどの大手コンピューター企業でオペレーティングシステムやソフトウェアを開発している人たちは、セキュリティについて考えています。確かに、ぜい弱性やセキュリティバグが発見されて非難を浴びることも多々ありますが、彼らがセキュリティを考慮に入れていることは確かです。

しかし、近所のスイミングプールで化学薬品を管理するのに使われている業務用制御ボックスはどうでしょうか。それをインターネットに接続して、プールの管理者が遠隔から化学薬品を制御できるように設計した人が、セキュリティについて考慮したとはあまり考えられません。この論理は、増殖しつづけるハッキング可能な他のマシンにも当てはまります。ペースメーカーやインスリンポンプのような埋め込み型の小さな医療機器から、民間航空機のような大型のものまで、さまざまな機器を標的にした無線攻撃の可能性を示すエクスプロイトのコンセプトが明らかにされています。テレビから新時代のスマートメーターまで、あらゆるものがぜい弱性を持っている可能性がありますが、セキュリティ対策用の製品は用意されていません。強力なインターネットセキュリティ製品は、深刻なマルウェアの脅威からコンピューターを保護するためにのみ作られている場合がほとんどです。新しいインターネット対応ガジェットの多くには、対策用の製品がありません。

大げさだと思うでしょうか。それではCarna Botnet(「Internet Census of 2012」とも呼ばれる)についての記事を読んでみてください。匿名の研究者が42万台の埋め込み型デバイスに害のないコードをアップロードすることに成功しました。それらのデバイスはデフォルトの認証情報でアクセスできたのです。悪意のあるコードをアップロードすることも簡単にできたわけです。

米国の場合、そうした機器の安全性を確保するためにできる唯一の方法は、国家的な規制を制定することです。

インターネット接続された機器があふれている世界の現実はこうです。多額の金銭を得るために、あまりにも多くの開発者があまりに多くの互換性のないシステムを設計して、動作はするが必ずしもセキュリティが高くはない製品を世に送り出しています。米国の場合、そうした機器の安全性を確保するためにできる唯一の方法は、国家的な規制を制定することですが、高利益の企業に対するインパクトが大きすぎるため、残念ながらそんな規制を提案することはできないでしょう。そしてワシントンDCにいるやる気のない議員の間では、「規制」という語はあまり知られていないため、提案したとしても制定されるまでにはならないでしょう。

米国食品医薬品局と国土安全保障省のISC-CERT(Industrial Control System Computer Emergency Response Team)は協力して、セキュリティをより真剣に考えるように医療機器メーカーを促しています。最近ISC-CERTが警告したように、400ほどの医療機器がデフォルトのログイン認証情報で重要なデバイス設定にアクセス可能であったことを考えると特に、この協力体制は絶対に必要なものと言えます。推奨事項やガイドラインのような強制力のない警告では、この問題の解決策にはならないでしょう。今私たちは、本当に危機的な状況に置かれているのです。それを認識して、慎重であることは重要です。