[JBpressの今日の記事(トップページ)へ]

リオオリンピック直前、関連組織に大規模なDDoS攻撃

2017年3月22日、警視庁が運営する「@police」は「不正プログラムに感染したIoT機器が発信元と考えられるアクセスの増加等について」という文書を発表。宛先ポート5358/TCPに対するアクセス件数が1月下旬に急増したことを報告した。警視庁が発信元となるIPアドレスにつなげたところ、いずれもマルウェアに感染したIoT機器が踏み台となり、DDoS攻撃に利用されたと見られている。

「年々、インターネット空間での攻撃が頻繁になっています。昨年のリオオリンピックの直前には、オリンピック関連の複数の組織が大規模なDDoS攻撃の標的となり、話題になりました」

そう語るのは、ラックのサイバー・グリッド・ジャパン、チーフリサーチャーの渥美清隆氏。オリンピック以外にも、イルカの追い込み漁を行っている和歌山県・太地町のウェブサイトや関連企業から中央官庁に至る幅広い対象に対して、反捕鯨を掲げる攻撃者たちが一斉にDDoS攻撃を仕掛けた「キリング・ベイ作戦」が実行されるなど、サイバー攻撃に関するニュースが後を絶たない。

「今年の6月には、マクドナルドの店舗でポイントサービスや電子マネーが一時期使用できなくなったのですが、同社のネットワークシステムがウイルスに感染したニュースがありました。公式に発表はされていませんが、当時騒がれていたマルウェア『ワナクライ』に感染したのでは、という噂が流れました」

ワナクライは、データを暗号化して身代金を要求するランサムウェア。世界中の企業や組織が標的となり、被害が拡大した。

「ポイントカードサービスは、一見するとIoT的ではないように見えますが、IoTのオリジナルの意味はRFIDを貼り付けた商品タグからきています。その点でいえば、個人の情報を紐付けているICカードもまた、IoTに含まれます。IoTがサイバー攻撃を受けた場合はデバイス側に被害が出ると思われがちですが、マクドナルドのようにサーバーサイドが狙われた場合も影響があるのです」

渥美氏いわく、IoTビジネスを継続するならば、デバイスだけでなく、その中間にあるネットワークと、サービスのデータを蓄えているサーバー側も守らなければならないとのこと。包括的なセキュリティ管理が必須となるのだ。

国家も潰れるレベルの 仮想通貨盗難事件

影響力のある組織や企業がサイバー攻撃の標的となれば、その分だけ大きな混乱を招く。近年、普及が進みつつある仮想通貨も、サイバー攻撃によって盗難されるという事例が増えているという。渥美氏が例にあげたのが、仮想通貨「Ethereum(イーサリアム)」での盗難事件。

「サイバー攻撃によって、流通している通貨(ETH)の1/4相当の額が盗まれました。通貨の1/4といえば、国家も潰れるレベルの金額です。犯人が通貨をばらまいたりしたら、秩序を維持できなくなる可能性があるため、事件そのものをなかったことにしてしまったんです」

イーサリアムでは、換金取引を始め、さまざまな記録をおよそ15秒ごとに記録している。その時系列を盗まれる前にまで戻して、数日分の取引を帳消しにしたという。

「通貨を盗まれた人も、そうでない人も全てなし。事件の報道はされましたが、仮想通貨は匿名性が高いので、所有者に連絡がいくこともありません。現金の入った財布をすられるのと同じ感覚ですね。その失われた数日間のうちに、何か買い物をした人の場合は、商品は手元にあっても購入していないという混沌とした状況に陥ったのです」

このような、仮想通貨盗難事件の原因のほとんどが“ウォレットの脆弱性”にあるという。通貨そのものではなく、そのお金を預ける場所が狙われてしまうのだ。

「仮想通貨を保管するのは『ウォレット』というシステム。PCのソフトもあれば、オンライン上のウォレットもあるのですが、このシステムが脆弱なものだと、攻撃者の標的となってしまいます。仮想通貨のプログラムを組むときに問題が発生して、通貨が盗まれてしまった場合は、ウォレットを作っている団体が対処することになりますね」

現在でもさまざまな仮想通貨が登場しているが、いずれにしてもお財布選びは慎重に……。

IoTビジネスの要はレンタル・リース

ネットワーク空間につながっている以上、サイバー攻撃の脅威にさらされている現代。はたして、IoTサービスを提供する企業はどのような対策をとるべきなのだろうか?

「とくに注意が必要なのはこれまでITを扱っていなかったメーカーが、IoTビジネスに乗り出すとき。ビジネスの運用者はビジネスマターで考えるため、セキュリティに意識が向けられない可能性があります。新たなIoTビジネスを立ち上げるときは、必ず必要な管理対策を検討してください。また、デバイスそのものに、セキュリティ機能を搭載するためのリソースが不足している場合は、メーカーが改善しなければならない問題でしょうね」

そのほか、開発環境を最新にして脆弱性のあるパッケージを吸い込まないようにする、デバックのために使っていた不要なツールは削除して出荷するなど、テクニカルな対策が要求される。

そして、今後IoTビジネスを継続するために、各メーカーが導入する可能性が高いのが“デバイスのレンタルサービス”だという。

「現在のような買い切りのサービスではなく、レンタル・リースならば定期的に機器のメンテナンスも行えるので、セキュリティ管理も可能になります。もしくは、製品寿命を設定して、その期間が過ぎた時点で使えなくなってしまうような仕掛けをするなどの方法が考えられますね」

たしかに、今後利用者の年齢層が広がれば、すべてのユーザーが自宅でファームウェアのアップデートを行えるとは限らない。メーカー側は多様なトラブルに迅速に対応するためにも、根本的なサービスの見直しが必要になるのだ。

「メーカーは、ひとつの製品を何十年も保証することはできません。しかも、IoTデバイスがサイバー攻撃の脅威に晒されていることを考えると、レンタル・リースサービスのほうが、安心して使えるはずです」

とくに自動車メーカーは、サービス内容が一変する可能性がある、と渥美氏は語る。

「もっとも可及的速やかに法整備が必要なのが『コネクテッド・カー』です。コネクテッド・カーが事故を起こしたときの責任の所在については議論の真っ最中です。アメリカでは、一応メーカーが責任を負うことで決まっていますが、体制としては固まっておらず、日本では何も決まっていません」

現在は、自動運転機能の使用中も、前を見てハンドルを握ることが義務付けられている。しかし、完全自動運転が実現した場合、事故発生時はユーザーに責任が問えるかどうかが争点になっているという。

「今後、コネクテッド・カーの法律が整えば、安全性の観点から自動車はすべてリースかレンタルになってしまうかもしれません。もしくは、数年経ったら有無を言わさず車両を交換される可能性もあります」

車愛好家にとっては切ない話だが、インターネットにつながっている以上、さまざまなリスクを想定しなければならないのだ。最後に、渥美氏はセキュリティ側の苦悩を語った。

「攻撃者は、セキュリティの穴をひとつ見つければ、そこを狙うだけですが、セキュリティを守る側は穴がないように常に壁をキレイにしておかなければならない。守る側は圧倒的に不利ですよね」

年々、熾烈を極めるサイバー攻撃。もちろん悪いのは攻撃者だが、メーカーと運用者、ユーザーそれぞれがセキュリティ意識を持つだけで、防壁を厚くすることができるのかもしれない。

株式会社ラック
https://www.lac.co.jp/

筆者: Kayo Majima (Seidansha)