NHK 解説委員室

解説アーカイブス これまでの解説記事

「IoTとセキュリティー対策」(視点・論点)

横浜国立大学 准教授 吉岡 克成

IoT(アイオーティー)とはインターネット・オブ・シングス、すなわち「モノのインターネット」を意味します。パソコンやスマートフォンだけでなく、腕時計やメガネといった身に着けるもの、家電、自動車、カメラやセンサー、工場やその中で動く機械・ロボット、ありとあらゆるモノがネットワークを介してつながり、それらのモノから得られる情報が新たな価値を生み、さまざまなサービスが生まれ、世の中が便利に、効率的に、豊かになる―IoTにより、そのような社会が実現されると期待されています。

これは未来の話ではありません。身近な例では、外出先からペットの様子を見守りカメラで確認したり、部屋に帰る前に暖房をつけて暖かくしておいたり、お風呂を沸かしておく、といった便利な技術が、既に実現されています。また、自分の好みのデザイン、素材、色の洋服を1着から直接注文できるような工場も現実となっています。
このようなIoT技術・システムが次々に現れる一方で、この便利な技術が悪用されることが懸念されています。ペットを見守るためのカメラが、不正にアクセスされ、家庭内ののぞき見や空き巣に使われたら、と想像してみてください。もしくは、ありもしない大量の注文が工場に届いたら、―さらには、工場の中の機械やロボットが暴走させられたら―。
大変な混乱が生じ、便利な世の中どころではなくなってしまいます。
実際、日本国内だけでもネットワーク接続された2000台近くのカメラが、パスワードなしに誰でも映像を閲覧できる状態になっています。また、パスワードが設定されていても、単純すぎると容易に推測され不正にアクセスされてしまいます。さらには、カメラののぞき見だけでなく、さまざまな機器から重要な情報を盗んだり、これらの機器を操って、さらに別の機器に不正アクセスを行うという「サイバー攻撃」が世界中で急増しています。

s180118_01.jpg

 このグラフは私たちが開発した、IoTにおけるサイバー攻撃を観測するシステムに届いた不正アクセスの送信元の数を示しています。2016年1月では、ひと月あたり2万6千か所からの攻撃を観測していましたが、2016年8月以降急増し、2016年10月には、ひと月で95万か所からの攻撃を観測しました。送信元の国・地域の数は200を超えており、ほとんど全世界から攻撃が届いています。これは、もしもサイバー攻撃という不正な活動が存在していなければ、本来はゼロとなるべき数字であるということを忘れてはなりません。いかに多くのIoT機器を狙う攻撃が、インターネット上で発生しているかということがわかると思います。
もう一つの重要な点は、これらのサイバー攻撃の多くは、攻撃により乗っ取られた機器そのものから送られてきている、ということです。すなわち、これらの攻撃元は、自身もサイバー攻撃により乗っ取られた機器、すなわち被害者でもあるということです。観測システムに世界中から攻撃が届くということは、世界中の機器がサイバー攻撃により乗っ取られて操られていることを意味しています。
なお、グラフで赤い部分は日本国内の攻撃元数を示しています。2017年10月までは、赤はほとんど見られませんが、2017年11月から前月の100倍近くの月2万か所に急増しており、もはや「対岸の火事」ではなくなっていると言えます。
では、どうして、これほど多くの機器が乗っ取られてしまうのでしょうか。
乗っ取りの大きな原因の1つとして、これらの機器をネットワーク越しに操作・設定するための遠隔操作用プログラムの存在があります。このプログラムは本来、機器の開発時などに利用されることが多く、不正なものではありません。一般利用者は使うことがないものですので、開発終了後、削除すればよいのですが、それを行わないと、製品として出荷された機器にもこのプログラムが残ってしまいます。このようなプログラムを残したまま製品を売り出してしまうことは、明らかに製造側のミスといえますが、実際に、そのような機器が多く存在します。それを知っている攻撃者は、この遠隔操作プログラムを悪用して機器に侵入し、不正に操作します。
また、最近では、これとは別に製品のプログラム上の欠陥を突いて乗っ取りを行う攻撃も増えています。このような欠陥は一般に「ぜい弱性」と呼ばれます。ぜい弱性は開発時のチェックにより減らすことが可能ですが、完全になくすことは困難です。特に、安価な機器については、コストの高いチェックを網羅的に行うことは難しいです。
また、機器メーカーは製品販売後にぜい弱性を発見すると、この修正を行い、販売済みの機器にも修正を反映する、いわゆる更新を行います。パソコンなどでは、更新を自動化しておけば、修正は自動的に反映されますが、多くのIoT機器では、更新が自動化されていなかったり、そもそも、更新の機能自体をもっていない場合があります。このような更新もコストが掛かるため、安価な製品に対して実施するには限度があります。その一方で、防犯カメラ等の機器の寿命はパソコンに比べて長く、もしぜい弱性があれば、それだけ長期間、悪用を許すことになります。

s180118_02.jpg

コストの問題だけでなく、急速にIoT化が進む現在、さまざまな分野の機器がインターネットに接続され、これまで想定していなかったサイバー攻撃が急に現実となり、機器メーカーですら、これに技術的に十分に対応できていないというのが現状といえます。
それでは、このような状況に対して、我々はどのように対応すればよいでしょうか?
まず、一般の利用者がすべきことは、インターネットに接続している家電やオフィス機器等のIoT機器が、このような攻撃の対象と成りえること、それによって不利益をこうむる可能性があることを、改めて心に留めておくことです。パソコンと同様に、これらの機器の更新の状況を確認することは有効な手段といえます。また、製品の価格だけを見るのではなく、更新機能やカスタマーサポートの有無等、メーカーの対応の良し悪しといった点も含めて購入を検討してはどうかと考えます。
次にこれらの機器のメーカーは、当然ながら、利用者以上にサイバー攻撃の脅威に敏感であること、可能な限りのセキュリティー対策を行うこと、ぜい弱性が発見された際の更新や情報提供、カスタマーサポート等の対応を適切に行う仕組みも重要です。
海外メーカーの安価な機器と、機能と価格の両面で勝負していかなければならない国内メーカーに対して国が果たす役割も大きくなります。全ての機器メーカーが一からセキュリティー対策を検討できるわけではありませんので、その指針となるガイドラインの策定、改訂が行われています。セキュリティー対策の良し悪しは一見してわかりませんので、対策が採られていることを、どのように利用者に伝えるかという点も重要となるでしょう。特に重要な機器やシステムについては、製品が必要なセキュリティーレベルを有していることを検査、認証する仕組み、制度が重要となります。
私自身を含む研究者やサービスオペレーターは、IoTにおけるサイバー攻撃や機器のぜい弱性等の状況について、出来るだけ迅速かつ正確に状況を把握できるような技術や運用に取り組むべきと考えます。
このようにそれぞれの立場でセキュリティー向上に取り組むことで、IoTのセキュリティーが我が国の当該分野の成長のブレーキではなく、強み、推進力となってくれることを期待しています。

キーワード

関連記事