【防御は最大の攻撃】大規模DDoS攻撃が明らかにした「IoTセキュリティ」の価値とは

写真拡大 (全3枚)

IoTという新たな世界の誕生により、これまでとはまったく異なる類の問題が発生している。シンプルに使えるものを、どうすれば安全にできるだろうか? シンプルさとセキュリティは、おいそれと両立できるものではない。

ドメインネーム・システム(以下DNS)プロバイダのDynを対象にした大規模なDDoS攻撃の発生を受け、ネットワーク管理者たちは、「脆弱性を抱えたIoTデバイスから自分たちのネットワークをどう守るか」という問題に取り組んでいる。

先週の金曜日、インターネットにおける重要な箇所めがけてDDoS攻撃が仕掛けられた。DNSは、インターネット上のドメイン名を管理しており、特定のサーバにトラフィックを誘導できる。ドメイン名やホスト名と、それに対応するIPアドレスなどの情報を記録・管理する世界規模の分散型データベースだ。

このDNSになにか問題が起これば、ブラウザなどネット上のサイト(システム)が情報を取りにいくべきサーバの特定が難しくなる。というのも、あまりに多くのWebサイトがDynにトラフィック情報を依存しており、ここが攻撃を受けてしまうと同時に多くのWebサイトに障害が起こるためだ。

つまり、Dynを潰してしまえば、攻撃者(今回はNew World Hackersと呼ばれるグループと目されている)は、一度にネット上の著名なサイトを一度にダウンさせることができるのだ。そういったサイトには、Amazon、Twitter、Reddit、Netflixなどが含まれる。

IoTは破壊のためのツールなのか

今回の攻撃が厄介な点は、それを仕掛けた際に使われたデバイスである。あらゆる証拠が、そのデバイスとして用いられたのはIoTデバイスであることを示唆している。

このデバイスに該当するものは、米国内でも数百万存在しており、世界中では計り知れないほどになる。冷蔵庫や洗濯機、皿洗い機やトースターなどのスマート家電などがそれにあたる。また、ホームセキュリティシステムやサーモスタットなども、攻撃者が「ボットネット」として手駒に加えたいと考えそうな旨味のある獲物だ。

DDoS攻撃には、「ボットネット」と呼ばれる“数多くの脆弱性を突かれ乗っ取られたシステムの群れ”を必要とする。乗っ取られたシステムは通常と動作が変わらないことから、たとえば、手持ちのデバイスが乗っ取られているかどうかの判断は難しいこともある。

関連記事:狙われるIoTデバイス ハッカーたちは「10年前の脆弱性」を利用する

先週発生した攻撃のケースは、ハッカーたちは『Mirai』と呼ばれるマルウェアを用いた。これはネット上にある基本的なセキュリティだけを持ち、IDとパスワードがデフォルト状態のIoTデバイスをスキャンする。スキャンして引っかかった「侵入可能なデバイス」には、悪意のあるコードが送り込まれ、知らぬ間に乗っ取られた状態になる。

IoTは急成長を遂げており、商業用途に使われるネットワークの主要な部分になりつつある。スマートテレビはすでに多くの家庭にあり、外部のデバイスやホームネットワークと活発にやりとりしている。政府は、トラフィックセンサーやワイヤレスカメラなどの「スマートシティアプリケーション」を使い、街の運営をスムーズにしている。

IoTを「安心・安全」なものにするために動いているグループが数少ないわけではないものの、それらもまだ生まれたばかりで脆弱性が多く残っている状態だ。

IoTで問題を解決する

IoTという新たな世界の誕生により、これまでとはまったく異なる類の問題が発生しており、セキュリティ専門家たちはここ数年にわたってこの問題の解決に取り組んでいる。シンプルに使えるものを、どうすれば安全にできるだろうか? シンプルさとセキュリティは、おいそれと両立できるものではない。IoTデバイスには、より堅固でアクティブなセキュリティ機能をオンボードで持つ必要があるだろう。

米国司法省は、先月セキュリティ脆弱性のあるIoT技術について警告を発したところだ。Dynへの攻撃が発生する数週間前のことである。DDoS攻撃は、ハッカーたちがシステムに入り込み、そのデータを使い物にならなくするようなものではない。しかし、「無数にある世界中のネットワークにセキュリティの欠陥が存在する」という現実を照らしだした。

多くのIoTデバイスは、マルウェアにより陥落させられる可能性がある。つまり、そのデバイスと同じネットワークにいる家のPCや企業のサーバ、政府のデータもその影響を受けることがあり得るということだ。これは、たとえば家のスマート歯ブラシが政府への大規模なメールハッキングの片棒をかつぐ可能性があるということだろうか? それは無いかもしれないが、それが政府のネットワークに接続されるべきものではないのは確かだ。

ユーザたち自身も大きな問題点となっている。平均的なユーザに、手持ちのPCを常に最新状態に更新しておくよう仕向けるのは難しい。トースターのシステムを定期的にアップデートさせるというのは見込みのない試みだろう。

そうなると、残った解決方法にはその場しのぎの苦しいものしかないことに気付く。たとえば、「なにかをネットに繋ぐ前にもう一度考え直しましょう」などだろうか?

混乱のIoT時代を生きる

だが、極端に考えないことも大切だ。素晴らしいIoTデバイスは世の中に多くある。個人的に、自動運転車のメリットは多いと考えているし、スマートテレビのない生活など考えられない。

問題は、現在のIoT世界が氾濫状態にあることである。多くの企業が、われ先にとあらゆるモノをインターネットの一部にしようとしている。

しかし、トイレットペーパーホルダーがインターネットに接続する必要はあるのだろうか? 残り少なくなったかどうかなど、通知されずとも見たらわかることではないか。

そして、ブタの貯金箱の中身がいくらあるかを知るためのアプリが本当に必要なのだろうか? スマートフォンやインターネットに繋がっていなくても、中にいくら入っているか表示するインターフェイスを備えたものは他にいくらでもある。

スマート水筒については触れたくもないのだが、我々は水を飲むのも忘れるほど馬鹿になってしまったというのだろうか。脱水を防ぐためや、水分補給を促すことを忘れる教員の代わりとして、使用されるのであればわからなくもない。

だが、数千年続いている我々人類は、水を飲む時間を教えてくれるような技術がなければ今日まで生きながらえていなかった、ということもないだろう。

我々が生きている現代というものは、あらゆる企業がいかに製品をIoTに結びつけようかと考えている時代だ。ジェフ・ゴールドブラム氏作 ジュラシックパークの登場人物のイアン・マルコムは、次のようなセリフを残している。「あの科学者たちは考えるのをやめるべきときでさえも、自分の考えで頭がいっぱいになっている。」

「セキュリティ」が国家を支える

IoTは、自動運転車やスマートハイウェイなどといった未来の訪れを示すものだ。我々が必要だと思う前にそのニーズが満たされ、あらゆる人がいつでも必要なときに必要な情報にアクセスできる世の中を作るという大掛かりな計画である。

そのビジョンの実現までに、技術の成長とそれに伴うセキュリティのバランスを取ることが重要だ。米国内3000万戸が、来年にはIoTデバイスで満たされると言われるなか、そのセキュリティが後回しにされてはいけない。攻撃は最大の防御、とよく言われるが、それと同様に「防御は最大の攻撃」でもあるのだから。

関連記事:セキュリティリスクの深刻さを理解しない三菱へ願うこと

個人的には、インターネット上のセキュリティを国家レベルで高めるため、セキュリティ関連の国家資格が近々誕生すると考えている。IoTの時代は、もうその域にまで達しているのだ。

RYAN MATTHEW PIERSON
[原文4]