米国で2016年10月21日(現地時間)、Amazon.comやTwitterなどの含むネットサービスが利用できない状態に陥った。原因は、「Mirai」というマルウェアに感染したIoT機器が、DNSプロバイダーであるDynへDDoS攻撃を仕掛けたこと。同事件が起こる前に、脆弱性管理ツールなどを提供する米Tripwireの専門家は、IoTの環境が狙われていることを指摘していた。同氏はまた、「攻撃者はすでに必要な手段を十分に持っている」ともいう。なぜ、IoT環境が狙われることが指摘できたのだろうか。
Exploit Kitが対象にする脆弱性の推移をみれば、2013年にJavaの脆弱性を突くものが多数発見されたものの、翌2014年には一気に下火になっている(図1)。一方で、Frameworkの推移を見れば、Adobe関連は2010年に、Javaは2013年にそれぞれピークを記録したが、2014年には「その他」がピークになっている(図2)。
図1:Exploit Kitの出現数の推移(出所:米Tripwire)拡大画像表示
図2:Exploit Frameworkの出現数の推移(出所:米Tripwire)拡大画像表示
これらの変化に対し、Thamse氏は「経済における普及学に当てはまる」とする。普及学では、市場が飽和すればするほど、イノベーションのためのモチベーションが働かないとされる。すなわち「新たなExploit Kitの開発が下火になったままなのは、2013年のJavaへの対応以後、その必要性が飽和状況に近づいたため」(同)というわけだ。
例えば、2016年8月に中東でエンジニアリング企業などを狙った「Operation Ghoul(グール作戦)」は、「新規性やイノベーションを伴わない攻撃だった」(Thamse氏)という。具体的にはフィッシングにより人間がもつ脆弱性を突いた後、市場に流通しているマルウェアで攻撃していた。「古い技術が今も有効」(同)なわけだ。
IoTへのDDoS攻撃による強請や恐喝が起こる
そのうえでThamse氏は、「IoTの領域では、デバイスの種類が増えるだけに、DDoS攻撃による強請や恐喝といったことが起こってくるだろう」と予測する。そこでは「かつて企業の社内情報システムが頭を悩ませてきたのと同じ問題が再浮上してくる。IoT領域での企業の取り組みが不十分な今、過去と同じ攻撃方法が成功する可能性が高い」(同)からだ。今後2年ほどは、「Exploit Kitの変化はないだろう。有効なFrameworkを見いだしなが行動に移る悪意ある攻撃者が急増する」という。
では、IoTに取り組む企業は、どうすればよいのだろうか。Thamse氏は、「今やるべきことと、今後の対策が必要だ」と指摘する。前者は主にTripwireのVERTなどの調査結果を元にした脆弱性対策といった技術的な対策である。後者は人に対する教育・啓蒙である。特に今は、「教育・啓蒙の対象が、社員だけでなく、その友人や家族にまで広がっていることと、将来の技術を開発・利用する子供に対する教育の重要性が高まっている」(Thamse氏)とする。
ただし、将来の開発者となる学生や子供に、具体的にどんな教育を施すべきかについては、「まだまだ決定打はない」(Thamse氏)のが実状。テクノロジーの企業や社会への適用においては、AI(Artificial Intelligence:人工知能)領域でも、倫理や法律、社会的問題といった側面からの検討が必要との指摘が高まっている。IoTによって社会に広がっていくセキュリティにおいても同様というわけだ。単に開発者だけでなく、直接/間接の利用者を含め、テクノロジーと、どう対峙していくかについて考える必要もありそうだ。
