報告者:ファーエンドテクノロジー株式会社
岩石 睦

概要

IoTと言うワードが流行して数年が経ちました。

IoTを有効活用するための技術や関連製品は益々成熟し、一部の先駆的な者だけで無く気軽に試す事もできるようになりました。

従来ITを事業で扱うのはネットワークサービスやシステム開発・構築などの業種が中心でしたが、電器や機械などの製造業をはじめ多くの業種が、IoTをきっかけとして自社の生産性の向上や、新分野への参入、IT技術を使用した新製品の開発・販売などに取り組まれていると思われます。

一方でIoTで不可欠な機器類はIT技術を使用しているため、セキュリティの問題は切っても切れない関係にあり、今までITを利用して事業を行っていた組織と同じようにセキュリティ対策が必要となります。
さらにIoTでは、無人施設・大量台数・常時稼働といった状況が想定でき、今までのIT機器の管理方法では対策が難しい場面があるのではと感じています。
また、そういった状況がセキュリティ攻撃のターゲットになりつつあるニュースも珍しくなくなりました。

先般、JPNIC(一般社団法人日本ネットワークインフォメーションセンター)が主催されるInternet Week 2017というイベントでIoTに関わるセキュリティのセッション(S10 転ばぬ先のIoTセキュリティ~コウカイする前に知るべきこと~ - IW2017)があり参加してきました。

参加した様子や感じた事など報告させていただきます。

概要

イベントの概要

イベント名 Internet Week 2017
日時 2017年11月29日(水) 16:15 ~ 18:45
場所 ヒューリックホール&ヒューリックカンファレンス
(東京都台東区浅草橋1-22-16 ヒューリック浅草橋ビル)

セッション「転ばぬ先のIoTセキュリティ~コウカイする前に知るべきこと~」

このセッションでは 久保 正樹氏 (情報通信研究機構 サイバーセキュリティ研究室 上席研究技術員)がテーマに関する概要と本セッションについての流れなどを説明し、
吉岡 克成氏 (横浜国立大学 大学院環境情報研究院/先端科学高等研究院 准教授)、
金居 良治氏 (株式会社FFRI 取締役最高技術責任者)、
熊白 浩丈氏 (NRIセキュアテクノロジーズ株式会社 ストラテジーコンサルティング部 上級セキュリティコンサルタント)、
島田 康晴氏 (株式会社アイ・オー・データ機器 事業戦略本部 企画開発部)
といった方々がご講演をなさいました。

IoTセキュリティに関する、研究・分析・コンサル・管理運用といった講演者の方々それぞれの立場での貴重なお話を伺わせていただきました。

講演の内容

本プログラムの焦点 ~IoTの全容に迫る~

久保氏による当プログラムの紹介セッションです。

NICT(国立研究開発法人 情報通信研究機構)の観測によると約18000台ものマルウェアに感染した国内のIoT関連とみられる機器からの通信を検知されているそうで、これらは、昨年2016年の夏から秋にかけて流行したMiraiマルウェアの亜種と予想されるマルウェアに感染したものとのことです。
それらの機器のほとんどは家庭用ブロードバンドルータやネット家電と呼ばれるインターネットに繋がる家電製品の様です。

感染の原因は

  • 情報公開されているソフトウェアの脆弱性が修正されていない
  • 管理用のID・パスワード(同一機種で共通)が初期出荷状態のまま変更されていない

といった2つの原因を利用されシステムの乗っ取りが行われているそうです。
この状況は日本国内だけでなく、海外でも同様のようです。

現在これらの問題に関して、関係機関を経て機器製造メーカーや利用者に連絡を行い修正するといった流れで対策を進めているが、IoT機器の増大によりこの仕組みでは対応に限界が来ているとのことでした。
今回のセッションはIoTに関連し

  • サービスを管理・運用する人
  • サービスを開発する
  • サービスを利用する人

という切り口で見た場合の、講演者それぞれの観点からの取り組みや話題を提供していただくとのご案内がありました。

繋がるデバイスの現在 ~IoT機器の脆弱性とサイバー攻撃の実態~

吉岡氏によるIoT機器のマルウェア感染などに関する研究成果の講演です。

横浜国立大学の同氏が研究を行う観測システムには2016年1〜6月の6ヶ月で218カ国から約60万台ものIoT機器から攻撃があったそうです。
久保氏の講演にもあった機器の他にはネットワークカメラやネットワーク型HDD製品などがあり、珍しいものとしては太陽光発電管理システムや電力需要(デマンド)監視システム、MRI(医療機器)などもあったそうです。

これらのほとんどがOSとしてLinuxを利用しており、telnetというID・パスワードを含め通信内容が平文で行われ通信傍受が容易な管理プロトコルを利用しています。またほとんどの機器で管理用のID・パスワードが簡単なものが設定されており容易に乗っ取りに成功している模様です。
特に2016年の半ば以降、観測システムにおいて攻撃観測の数が急増しており、おそらくはMiraiマルウェアによるものと考えられるそうです。
ご講演の中ではMiraiマルウェアなどIoTをターゲットとしたマルウェアの動きなどについての解説や、不適切な設定によりインターネットに映像が公開されている監視カメラの現状についての検証結果の説明がありました。

同氏が行われた、感染することが確認されているIoT機器をあえて工場出荷時の状態に戻して、放置しマルウェアに感染させる実験についての結果解説がありました。
複数台の機器を数回にかけて行われているのですが、最短では38秒で感染した機器もあり、インターネットに繋がっている機器は常に攻撃者のターゲットになる可能性があることがわかります。

また現在のマルウェアは電源の再起動で一旦は感染から復元できるものの、対策不備の状態で再感染の可能性が高いことや、今後ファームウェアへ感染するマルウェアが発生した場合、再起動で感染前の状態に復元することもできなくなることを問題視していらっしゃいました。

吉岡氏の講演では、

  • IoT機器のマルウェア大量感染が深刻化しており、また感染した機器を悪用したサービス妨害の攻撃も顕在化している現状
  • ソフトウェアの脆弱性が発見されても更新されず放置される場面が多く、マルウェアのターゲットとして恰好のターゲットであること
  • ずさんなアクセス制御の機器管理画面やTelnetなど簡易な管理機能が改善されないこと
  • デバイスやシステムを「作る人」と「使う人」は問題を意識してない状況で、「攻撃者」は問題を理解し巧みに利用する現状

など、多くの課題を改めて感じさせられました。

知られざるデバイスセキュリティの世界

金居氏によるIoTシステムへのセキュリティ研究(脅威や脆弱性の分析など)についてのお話でした。

IoT機器は製造メーカーがセキュリティ対策の一環としてファームウェアを公開していることが多く、万人が入手可能なため誰でも解析を行うことが可能で、公開の意図とは逆に解析結果を悪用されるという脅威が存在します。

Black Hat USA 2013というアメリカのセキュリティカンファレンスで発表があった監視カメラに関する発表では、脆弱性を悪用し外部からカメラを操作する発表があったそうです。
この操作については同じ方法で複数のメーカー・モデルにも適用出来たため、一度に複数のカメラを攻撃することが可能だったそうです。

ウェブカメラなどに関しては、インターネットに接続されている機器を検索するサービスがあり、機器の特徴により検索結果を絞り込むことで、世界中から攻撃ターゲットを見つけ出すことができます。
監視カメラへの攻撃としては不正な閲覧(のぞき見)や機器動作停止のほか、映像の差し替えなどもできるようで、実際に撮影している映像とは異なる映像を流し続けることも可能となり、監視の役割を機能させないといったこともできたそうです。

自動車のオンラインサービスが普及していく中、これらの脆弱性が課題になっています。
GM(ゼネラルモータース)のOnStarというサービスについてのMITM攻撃(Man In The Middle:中間者攻撃。通信の間に割り込み、通信内容を傍受する攻撃)が2015年7月にアメリカで開催されたDEFCONというセキュリティカンファレンスで発表されました。
中間者攻撃により認証情報などが第三者に盗み取られる可能性があり、大きな話題になったそうです。またこの通信内容を傍受・改ざんする攻撃専用のデバイスを作成し発表されたそうで注目を浴びたとのことでした。
近年はスマートフォンの普及もあり、こういった自動車のリモートサービスをスマートフォンのアプリで操作するものもあります。

東京で開催されたCODE BLUE 2016においては自動車リモートサービスに関連するスマートフォンアプリの検証結果の発表があったそうです。
結果としていくつかの問題が検出されており、今後の改善が求められそうです。

本講演では解析に関する話題も提供され、従来高度な技術を必要としたハードウェア分析やファームウェア解析などについて、ツールの整備が進み年々難易度が下がってきているため、開発者は容易に解析される前提での製品開発を心がける必要があるとのお話がありました。

体系的なIoTセキュリティへの取り組み方

熊白氏からはIoTシステムに関連するガイドラインの使い方とPSIRTについての話題が発表されました。

プロダクトを作り上げる過程で「規格」や「ガイドライン」を参照する場面が多々あるかと思われます。
ガイドライン等を参照して自社の基準を作成し、基準を満たす製品を製造していくことになりますが、IoTに関連した規格については、セーフティ(機能安全)規格はIEC61508他揃いつつありますが、セキュリティ規格はまだ策定の途上段階であり出そろっていないそうです。
ただセキュリティに関してもガイドラインやレポートはここ数年で多数発行されているようです。

  • OWASP IoT Security Guidance
  • IoT推進コンソーシアム IoTセキュリティガイドライン
  • Cloud Security Alliance Security Guidance for Early Adopters of the Internet of Things

などなど

全てのガイドラインの内容を全て漏れなく適用するアプローチ(トップダウンアプローチ)は網羅性も高く良いアプローチではあるが、時間と手間もかかりとても大変なので、時間やリソースに余裕が無い場合はIoTの構成要素(デバイス、ネットワーク、プラットフォーム、マネジメント)とガイドラインの特徴から参照するガイドラインを定め最低限の組みあわせを適用し徐々に対象を広げていくアプローチ(ボトムアップアプローチ)で進める方法をご紹介されました。

同氏がお話された話題のもう一つがPSIRTです。
PSIRT(Product Security Incident Response Team)とは製造者が製品についてセキュリティ上のインシデント(例えば異常な動作の報告が寄せられたり、専門機関から脆弱性情報の連絡を受けたり、また使用するソフトウェアなどに脆弱性が発見されたりなど)が発生した際に対応を行うチームのことです。

セキュリティインシデントといえば組織のコンピュータインシデントの対応チームである、CSIRTの設立が広まっていますが自社製品に関してのセキュリティインシデントについて対応する同じような役割と考えらます。

CSIRTと違い、現時点ではPSIRTに関する情報は少なく、フレームワークもまだ存在しないようです。
現在世界中のCSIRTの情報交換フォーラムであるFISRTにおいてPSIRT Service Frameworkがパブリックコメント受付中とのことで国際的なフレームワークもあと少しといったところでしょうか。
また脆弱性のマネジメントに特化した内容としてISO/IEC 29147(脆弱性の公開)、ISO/IEC30111(脆弱性ハンドリング)が紹介されていました。

既にPSIRTを構築されている組織ではこれらの規格等にとらわれず構築され、インシデントが起きてからの対応に特化せず製品の開発段階を含めて取り組んでいるところもあるそうです。

私自身、今回このセッションに参加するまでPSIRTと言う言葉を知りませんでしたが、IoT機器などネットワークに繋がるデバイスが増えていくことにより、いままでコンピュータのセキュリティに無縁であったデバイスがセキュリティインシデントのきっかけになる可能性が出てきた事を考えさせられる内容でした。

品質管理部門やお客様対応部門など、既にPSIRTの機能が備わっている部門を保有している企業もあると思われます。セキュリティに関する事象への対応を組み入れることで速やかにPSIRT機能を構築できるところも多いのではと感じました。

PSIRTと事後対応の取り組み

島田氏のご講演は実際に活動されているPSIRTの活動についてのお話でした。

同氏の所属されるアイ・オー・データ機器ではIoTと言う言葉が生まれる以前からネットワークに接続できる様々なデバイスを取り扱われていらっしゃいました。
ネットワークに接続出来る製品を扱われることになると脆弱性についての取り組みは避けて通れないとのことです。

同社ではPSIRTという組織は構築されていないそうですが、ある出来事を契機に作成された対策チームがあり、そのチームがCSIRTとPSIRTの活動を兼ねておこなっていらっしゃるとのことでした。
この形態は今後IoTデバイスの製造を行う企業がPSIRTなどを構築される際には参考になるかと思われました。

インシデントの取扱をインシデントハンドリングと言いますが、同社ではIPAの「情報セキュリティ早期警戒パートナーシップガイドライン」に合わせて構築なさっていらっしゃるとのこと。
「インシデント情報」、「重大例の判断」、「対策検討及び対策」、「対策を公開」といった流れでインシデントに対応されていらっしゃるそうです。

インシデント情報は

  • 利用客などからの申告
  • JPCERT/CCなどの専門機関からの連絡
  • OSSライブラリなど利用するソフトウェア開発元の公開情報
    などいくつかの異なったルートで入ってくるため、それらの連絡情報を適切に処理する必要があります。

ご講演では、ある同社の製品についての脆弱性の疑い通報から、緊急調査、経営陣を含めた緊急協議、出荷停止、関係箇所への報告や情報の公開、対策ファームウェアの公開、製品出荷の再開などの流れについてお話がありました。
本レポートでは製品が何かというのは主たる内容ではありませんので記載を省かせていただきます。

島田氏はこのご経験から

  • ユーザの利用方法や利用シーンを限定せず設計を行わなければならない
  • 対策に時間がかかるようであれば速やかに情報を公開するべき
  • 世の中のセキュリティに関する関心が非常に高まっている

などの気付きがあったとのお話をされました。

同社社内では開発部門を含めたセキュリティ活動の再構築が行われ、対策機器や仕組みの導入など個人個人のスキルに頼らない対策が行われているそうです。

そして事例を挙げて対応の流れなどの説明がありました。

一つは複数製品に影響がある場合の対応です。
例として先般話題となったWPA2方式に関する脆弱性(通称:KRACK。Wi-Fiの暗号化方式として現在もっとも安心とされている方式に関する仕様上の脆弱性)に関連する対応をお話しされました。

対応としては、

  1. 脆弱性公開情報の入手
  2. 該当、非該当の判断
  3. 調査中を公開
  4. 対策検討及び対策
  5. 対策の公開、そして更新

2の段階で該当が無ければ「該当する機種はありません」という情報を公開する必要もあり、また該当する機種があれば全ての機種について対策が完了するまで5を繰り返して行く必要があります。

ポイントとして、速やかな情報の公開と更新を挙げられていました。
顧客からの問い合わせも想像しているより早い段階で届くため、会社としての対応をはっきりさせるためにも情報公開が大事とのことです。

もう一つの事例として古い製品に関する脆弱性の事例を挙げられました。
古い製品については開発工数の問題だけで無く、そもそも時代に合わせた対策が行えないものもあり、利用者に費用負担はかかるものの、安心してご利用いただくためには利用停止のお願いも避けられないのでは無いかとのお話でした。
EOS(End of Service)の考え方について、同社では今のところ導入されていませんが、検討する必要はあるのではとのお話でした。

製造元として脆弱性への対策に取り組んでいらっしゃいますが、対策ファームウェアの公開状況がどれだけユーザに届いているかについて把握することはとても難しい課題とのことです。
最新ファームウェアの導入について最近の製品に関しては自動更新機能の搭載が進んでいるため、以前と比べるとかなり状況は良くなってきたと思われるが、対策が行き届いているかの把握は難しいようです。

今後更新機能の高度化や事後対応の顧客へのリーチの見える化などの対策に取り組んで行きたいとのことでした。

最後に

今話題となっているIoTのセキュリティ問題は、直接インターネットに繋がっている監視カメラやブロードバンドルータなどの問題がほとんどです。

しかも管理ミス(ソフトウェアの更新をしていない、適切なID・パスワードを設定していない、またそもそも認証自体を設定せず世の中に公開しているなど)を利用され攻撃が行われており、高度な技術力が無くとも大規模な攻撃が成功しているというのが現状の様です。

将来的に最近の企業向けの攻撃の様に、ルータやファイアウォールなどの内側に向けた攻撃が実現した場合、相当な台数の機器に影響があるものと思われます

IoT技術による新しいサービスや製品への期待は高まるばかりですが、皆が安心して利用できるために、製造者・提供者・利用者それぞれが気を付けなければいけないのが現状です。
将来のためにソフトウェア開発者、セキュリティ関係者、製品の製造・提供者が垣根を越えて強くつながることが求められているのだと感じました。