写真提供:マイナビニュース

写真拡大

●IoT分野で高い成長率が見込まれる「自動車」「産業用途」「家庭」
昨年に、マルウェア「Mirai」による大規模な攻撃が発生してから、一気に注目が高まった「IoTセキュリティ」。さまざまなセキュリティベンダーがIoTセキュリティに取り組む中、トレンドマイクロは、IoTセキュリティに関する専門情報サイトを立ち上げ、積極的に注意を喚起している。

今回、同社のマーケティングコミュニケーション本部 コアテク・スレットマーケティンググループ担当課長の森本純氏に、同社がIoTセキュリティが求められる分野として、同社が特に注目している「工場」「自動車」「家庭」について話を聞いた。

○古いPCが抱える古い脆弱性を突いた攻撃に注意

IHS Technologyの調査によると、「自動車」「産業用途」においてIoTデバイス数の成長率が高く、「コンシューマー」は成長率とデバイスの数がいずれも高いという。こうした調査結果も踏まえ、同社のリサーチ部門は各分野について予測しながら、IoTセキュリティについて実証実験を行っているそうだ。

森本氏は「工場の制御システムはITシステムとは違う」としながらも、「実際には、メールを受信できる端末があるなど、外部のネットワークと接続しているケースがあります」と指摘する。さらに、産業機器の汎用化が進んでおり、攻撃者にとって工場のシステムも新たなマーケットになっているとする。

また、工場のシステムは寿命が長く、かつ、生産ラインを支えているため、基本的に止めないことから、Windows NTやWindows XPなど、古いWindowsが使われているケースが多い。

マイクロソフトのサポートから外れた古いWindowsは新たな脆弱性が発見されても修正パッチが提供されず、リスクが高い。加えて、森本氏は「サイバー攻撃者は古い脆弱性を悪用することも多く、古いWindowsが狙われる危険性があります」と話す。

○個人情報や決済情報を抱えるIVIシステムが狙われると……

自動車が搭載している車載インフォテイメントシステム(IVIシステム:In-Vehicle Infotainment System)は、ビデオやオーディオなどのエンターテインメントシステムやナビゲーションの機能を提供するが、最新の情報を取得するため、Webに接続しているなど、電子化が進んでいる。

トレンドマイクロが注目しているのが、このIVIだという。森本氏は「自動車は生命に関わる事故を起こす可能性があるため、IVIシステムと走行を制御するシステムが分離されているなど、基本的にセキュリティが考慮されています。しかし、連絡先、行き先、決済情報などを保存しているIVIは、攻撃者にとって格好のターゲットと言えます」と話す。

IVIシステムには、個人情報などの情報の窃取に加え、ランサムウェアの感染のおそれもあるという。「IVIシステムがランサムウェアに感染したら、ナビが起動しなくなるかもしれません。ナビを再び稼働させるために、利用者ではなく、サービス提供者に身代金を要求するといったストーリーも考えられます」と森本氏。

取材の際に、車載システムにウイルスを落として感染させ、ナビゲーションシステムの情報を窃取するデモンストレーションの動画を見せてもらった。同社は車載システムの脆弱性を管理し、攻撃を受けたら、それを検知してブロックするための仮想パッチを提供する機能を提供している。

○既にランサムウェアによる被害が確認されているスマートテレビ

今や、家庭ではさまざまなデバイスがWebに接続しているが、森本氏によると、既にスマートテレビの利用者が攻撃を受けていることが確認されているという。

スマートテレビは筐体そのものがネットワークにつながるタイプと外付けのセットトップボックスによってネットワークにつながるものがあるが、同社はインターネット越しに映像を見ることができるテレビを「スマートテレビ」と考えている。

●既に被害者が出ているスマートテレビのサイバー攻撃
同社はスマートテレビについても実証実験を行っており、その動画を見せてもらった。実証実験では、ルータの脆弱性を悪用して、接続先を書き換えるとともに、Androidを搭載しているセットトップボックスにランサムウェアを感染させ、テレビを見ることができなくなっていた。

具体的な攻撃の流れはこうだ。接続先が書き換えられたルータにユーザーがアクセスすると、ユーザーは本来接続すべきWebサイトではなく、攻撃者が用意した偽のWebサイトに接続してしまう。このサイトから、アプリとしてランサムウェアがダウンロードされ、テレビが感染してしまう。その結果、画面には身代金を要求するメッセージが表示され、テレビの機能は使えなくなってしまう。

森本氏は「IoTデバイスを狙う攻撃は人を介さないものになっていくかもしれませんが、ホームセキュリティに関しては、これまでと同様に人をだます手口が攻撃のポイントとなると考えられます。そのため、注意喚起は欠かせません」と話す。

○利用者がつながっていることを意識せずに使えるIoTデバイスを

先に、IoTセキュリティへの対策として「注意喚起は欠かせない」と書いたが、同社としては別なアプローチも考えている。

IoTデバイスの問題点として、セキュリティの設定が不十分であったり、初期のパスワードがそのまま使われていたりと、ユーザーの責任に負うものも少なくない。

しかし、森本氏は「IoTデバイスの中には設計上、セキュリティが考慮されていないものがたくさんあります。だからこそ、われわれは、ユーザーがインターネットに接続していることを意識せずに、IoTデバイスを使えるようなアプローチをとりたいと考えています。ユーザーがIoTデバイスにセキュリティ対策を実施するのではなく、安全なIoTデバイスを提供することを支援したいと思っています」と語る。

その取り組みの1つが、車載システム向けSDKの提供だ。セキュリティモジュールをSDKとして提供することで、そのSDKを製品に組み込んでもらうことを狙っている。

あわせて、前述した車載ステム向けの脆弱性管理システムを利用すれば、同社のSDKを採用したデバイスメーカーは、自社製品の脆弱性を管理し、攻撃を受けた場合も速やかに対処することが可能になる。

同社は昨年、IoTセキュリティに関する専門情報サイト 「IoT Security Headlines」を公開を立ち上げたが、最も人気があるコンテンツは「『IoT』にも『セキュリティ』が必要?」だという。今、IoTにセキュリティが必要であるかどうかを検討する段階の人が多いという現れだろう。

基本的には、使う人が責任を持って自身が利用するデバイスのセキュリティを確保する必要があるが、中には、ファームウェアをアップデートする機能を備えていない機器もある。

そうなると、ユーザーからすれば、トレンドマイクロが目指す「インターネットにつながっていることを意識せずに、IoTデバイスを使える世界」は魅力的だろう。今度の同社の取り組みに期待したい。

(今林敏子)