デジタル革命に向けた取り組みとしてIoT(Internet of Things:モノのインターネット)への期待が高まっている。一方で、スタンドアロンで動作していたモノをネットワークに接続することで重要な課題として浮上するのがセキュリティだ。攻撃者は標的としてIoTを、どう位置付けているのか。この問に対し、東京・御茶ノ水で開かれた「IoTセキュリティフォーラム 2016」(主催:横浜国立大学先端科学高等研究院とインプレス)のパネルディスカッションにおいて、IoTセキュリティの専門家が議論した。
「攻撃対象が興味を持つと思われるWebサイトに選択的に罠を仕掛ける『水飲み場攻撃』が、IoTにおいても発生する可能性が考えられる」と話すのは、横浜国立大学大学院環境情報研究院/先端科学高等研究院の吉岡 克成准教授。「例えば、VIPが泊まるホテルのWi-Fiルーターを事前に乗っ取れば、宿泊者のアクセス状況を盗聴したり、アクセス先を変更して悪意のあるWebサイト等に誘導したりといった攻撃が可能になる」と警鐘を鳴らす。
日々の利用の中で「何か怪しい」と気づける感覚が重要に
こうした攻撃例を受けて、情報通信研究機構(NICT)のサイバーセキュリティ研究室・研究員の笠間 貴弘 氏が会場に投げかけたのが次の問題点だ。
「以前、コンビニエンスストアの防犯カメラの映像がインターネット経由で誰でも見られるという事件が発覚したが、既に100万台以上のWebカメラやルーターなどが攻撃者に乗っ取られサイバー攻撃に悪用されている状況になっている。しかし、多くの人は、そのことに気づいていないのが現状だ。日常使っている機器が、普段と少し違う動きをしていることに気づき『何か怪しいな』と思える人はどれくらい、いるのだろうか」
写真4:左から、パネリストの情報通信研究機構(NICT)の笠間 貴弘 氏、PwCサイバーサービスの神薗 雅紀 氏、KDDI総合研究所(旧KDDI研究所)の竹森 敬祐 氏拡大画像表示
KDDI総合研究所の竹森 敬祐 氏も「いかに気づくかが大事だ」と強調したうえで「そもそも、使っている機器やネットワークのエラーログといった情報を、普段からきちんと見ていない人が大半である」と指摘する。
その竹森氏は、今後の対策として「loTを運用/開発していくうえ最も大事なのは、エンドデバイスや組み込みOSに至るまで、開発者側が“ポリシー”をきちんと決めていくことだ」と語る。東北学院大学工学部准教授の林 優一 氏も、「個々の機器に直接アクセスできた場合、攻撃のバリエーションが増え、危険度が増す可能性がある。例えば、物理層から漏えいする情報を攻撃者が利用した場合、従来想定されていなかった情報の漏えいが発生する可能性があることから、それぞれの関係機関が動向をしっかりと予測し対応していくことが重要になる」とした。
PwCサイバーサービスの名和氏は、「サイバー攻撃によって、なんらかの物理的な損害が出たり、上場企業であれば株価に影響にしたりすることがある。米国などでは、そうした損害に備えたサイバー保険が流行っている」と、技術以外の対策も紹介した。
サイバー攻撃が身近に起こり得る環境が広がっている
日本は今「日本再興戦略2016」という新しい施策を打ち出し、サイバーセキュリティに対する対応方針と今後の計画を定めている。先にリオオリンピックが開催されたブラジルがサイバーで国を守る仕組みを作ったように、日本でも2020年に向けて、1000人規模のサイバー攻撃に対応できる専門家を育成するという動きもある。
写真5:パネルディスカッションには大勢の聴講者が詰めかけた拡大画像表示
IoTへの取り組みは、まだ始まったばかりだが、Wi-Fiネットワークの整備などにより、我々の身近なところでサイバー攻撃が起こり得る環境が広がっている。そこには数多くの危険が潜む。NICTの笠間氏は、「実際に侵入された時を想定し、どのような防御体制を構築していくかが今後の鍵になるだろう」とした。
またサイバー攻撃の手法は高度化しているだけではなく、DOS攻撃のように、古くからの攻撃手法も現役であることに留意しなければならない。従来のOA環境を対象にした攻撃手法がIoTにも発生しつつある。PwCサイバーサービスの神薗氏は「IoTを狙ったランサムウェアなどもきっと登場するだろう。これまでの知見を活かし、しっかりと『基本的な対策』を施すことが重要だろう」と指摘する。
