デジタル革命に向けた取り組みとしてIoT(Internet of Things:モノのインターネット)への期待が高まっている。一方で、スタンドアロンで動作していたモノをネットワークに接続することで重要な課題として浮上するのがセキュリティだ。攻撃者は標的としてIoTを、どう位置付けているのか。この問に対し、東京・御茶ノ水で開かれた「IoTセキュリティフォーラム 2016」(主催:横浜国立大学先端科学高等研究院とインプレス)のパネルディスカッションにおいて、IoTセキュリティの専門家が議論した。
「IoTセキュリティフォーラム」は、IoTにおけるセキュリティの課題を学術とビジネスの両面から議論するフォーラム。今回が2度目の開催で、前回がIoTに関係するセキュリティの全体像の把握に努めたのに対し、今回は、より具体的な課題と対策をテーマに多くの専門家が登壇し最新状況を知らしめることに力点が置かれた。
写真1:「IoTセキュリティフォーラム 2016」のパネルディスカッションの登壇者拡大画像表示
写真2:モデレーターを務めた横浜国立大学の松本勉教授拡大画像表示
そのフォーラムの特別企画として開かれたのが、「攻撃者の意図を暴け--攻撃者はIoTをこう攻める、ならばこう守る!」と題されたパネルディスカッション。IoTにおけるセキュリティを考えるには、「まず攻撃者がどんな意図で、どんなポイントを突いてくるのかを知ることが重要」との考えから、IoTセキュリティの専門家が攻撃理由や攻撃手法などを明らかにしていった。モデレーターはフォーラムのプログラム委員長である横浜国立大学 大学院環境情報研究院/先端科学高等研究院教授の松本勉氏が務めた。
HEMSやWebカメラなどが乗っ取られている
まず議題に挙がったのは、IoT領域において、どのようなサイバー攻撃が起こっているのか。パネリストの発言を抜粋すると、次のような攻撃が現実に発生しているという。
PwCサイバーサービスの最高技術顧問である名和 利男 氏によれば「最近は、家庭の電力使用量をマネジメントするHEMS(Home Energy Management System)と呼ばれるシステムやノートPCに搭載されているWebカメラなど身近な機器がハッキングされ乗っ取られるという事件が相次いでいる。これへの対策が、Webカメラにシールを貼るという、なんともアナログなことが起こっている。その一方で、韓国の地下鉄システムのハッキングなど、社会インフラの基幹システムへダメージを与えるような攻撃も顕著になっている」という。
写真3:左から、パネリストのPwCサイバーサービスの名和 利男 氏、東北学院大学の林 優一 氏、横浜国立大学の吉岡 克成 氏拡大画像表示
KDDI総合研究所(旧KDDI研究所)ネットワークセキュリティグループ研究マネージャーの竹森 敬祐 氏は、「IoTでは多くの機器や端末を利用するが、それらが『Made in ○○』と言いつつも、搭載しているチップなどは別の国で作られていたりする。そうしたチップや端末にスパイウェアもどきが入っていることがあるが、そのままの状態で使ってしまい攻撃対象になっている」と明かす。近年は、「裁判所や行政機関が出した命令を根拠にした合法的な傍受の仕組みを利用した攻撃が起こっている」(同)とも話す。
PwCサイバーサービスの上席研究員である神薗 雅紀 氏は、「IoTは安価という印象があり、IoTを利用したシステムの設計やアセスメントには時間やお金を掛けたくないというところがある。そういう部分を攻撃者は狙ってくる。IoTを安易に導入したものの、今までのセキュリティレベルが低下していることに気が付いていない組織が多い」と指摘する。実際「重要インフラなどの制御システムに導入したIoTが乗っ取られ、そこを起点に機微な情報が窃取されたり、システムが停止されたりといった実質的な被害が出始めている」とした。
