Wi-Fiに見つかった脆弱性で、“穴だらけ”のIoT機器が大量発生する──その脅威が10年は続くかもしれない

2017年10月20日 15時30分

Wi-Fiの暗号技術に見つかった脆弱性が、ハイテク業界全体に混乱をもたらしている。この「Key Reinstallation Attack（KRACK）」と呼ばれるアタック[日本語版記事]は、ほぼすべてのワイヤレスデヴァイスに大なり小なり影響し、インターネット接続を乗っ取れるようにしてしまう。特にIoTにおいては、これ以上ないほど広範に影響を及ぼす恐れがある。

KRACKの影響を受ける範囲は、まだ全貌がつかめていない。セキュリティアナリストによると、これは悪用するには技術的に難しい脆弱性であり、iOSやmacOS、Windowsなどの主要プラットフォームは影響を受けないか、もしくはすでにパッチが適用されているという。しかし、パッチが用意されない可能性が高い数百万台ものルーターや各種IoTデヴァイスの存在を考えると、KRACKの本当の被害は何年にもわたって続くかもしれない。

医療機器のセキュリティを専門にするミシガン州立大学のコンピューターサイエンティスト、ケヴィン・フーは「防犯カメラなど一般的な分野のIoTデヴァイスについては、海に沈みかけているどころか海底のクイックサンドにはまってしまったような状況です」と話す。

KRACKは、これらの問題がどれほど根深いものか、そして修復に向けた業界の対応がどれほど遅いのかを露呈させる結果になった。

対策から取り残されるIoT機器

KRACKへの対応に関して、さまざまなアドヴァイスを耳にしたことがあったとしても、具体的なメリットがあるものはたったひとつしかない。自分のデヴァイスにパッチをあてることだ（現時点で提供中の企業一覧はこちら）。

iPhoneやMac、Windowsコンピューターを所有する人は、必ずいますぐにパッチをあてた方がよい。Androidデヴァイスにも間もなくアップデートが提供されるだろう。ただし、PixelもしくはNexus以外のユーザーは、いましばらく待つ必要があるかもしれない。しかし、これらがそろえばもう大丈夫だ。問題は解消されるだろう。

だがルーターはどうだろう？　防犯カメラは？　ネット対応の車庫のドアは？　まあ落ち着いていただきたい。

アトレディス・パートナーズのネットワークセキュリティ研究者、H・D・ムーアは「20年後もまだ脆弱なデヴァイスが発見されるでしょう」と話す。

なぜなら、IoTデヴァイスがセキュリティの問題を修正するために必要なソフトウェアアップデートを受けるケースは、最良の環境においてもほとんどないからだ。プロトコルレヴェルで業界に影響を与え、修正に組織的な取り組みを必要とするKRACKのような複雑な問題に対しては、正しいパッチが市場に出た時点で新しい機器を購入することが、多くの場合は最善策なのだ。

パッチを当てるのもハードルが高い

課題は単にパッチの有無にとどまらない。ネットワーク機器メーカーであるネットギアの場合を考えてみよう（名誉のために書くと、同社はKRACKが公表された日に自社の数十機種のルーターに向けてパッチを提供している）。同社は1,200機種以上の製品を製造しており、それぞれについてKRACKが与える特定の影響をテストする必要がある。多くの場合、ネットギアがこれらの修正を自社だけで行うことはできず、チップセットのパートナー各社にもこの問題への対応を求めなければならない。

そして、これらのパッチが用意できたとしても、早急なアップデートが必要であることを顧客に知らせる手段は限られている。購入した製品を登録したユーザーには電子メールを送り、セキュリティ勧告を出し、コミュニティーフォーラムに投稿する。だがその他の顧客（顧客の大多数）は、このようなニュース記事を読んで適切なダウンロードリンクを探し出し、パッチをインストールせねばならない。

仮に、そのような対応がとれたとしよう。実際にパッチを当てるには、ネットギアのアクセスポイントにあるウェブ管理インターフェースに、自分のコンピューターからログインする必要がある。それがルーター所有者の多くを混乱させる可能性がある。ネットギアのCIO、テジャス・シャーは「誰でも簡単にできるわけではないと思います。顧客を教育するとともに、問題に遭遇したときに支援する必要は認識しています」と話す。

これらの問題は、繰り返しになるが、パッチを即座に提供することで定評のあるネットギアに限った話ではない。しかし、このことは業界規模の悲惨な状態に対して、いかにワイヤレスデヴァイスが準備不足かを浮き彫りにしている。

ネット家電にいかにパッチを当てるのか

そしてここまでは、多くの人が少なくともインターネットとの接続を認識しているルーターだけの話だ。これがIoTデヴァイスも含めると、完全に不可解な状況になる。

セキュリティヴェンダーのRapid7で主任データサイエンティストを務めるボブ・ルディスは次のように語る。「Wi-FiにつながったIoTデヴァイスを所有していることさえ気付いていないのではないでしょうか。冷蔵庫だってそうかもしれないのに。冷蔵庫へ自動でパッチが当たることは、おそらくないでしょう」

ネット対応冷蔵庫などくだらない例かもしれないが、これらは実在するし、ネット対応の窓やスプリンクラーシステムなど、あらゆるものがある。これらは簡単にアクセスできるインターフェースが用意されていない場合が多く、たとえパッチが用意されたとしても、その適用を難しくしている。ルディスによれば、ハッキングされた機器がブラウザの履歴やアドレス帳をハッカーに暴露するようなことはないだろうが、脆弱なIoTデヴァイスは異なる種類の脅威につながるという。

「実際に誰かがIoTデヴァイスをターゲットにしてこのような攻撃に成功したら、この脆弱性を悪用して車庫を開けてしまったり、ドアのロックを開けたりすることができてしまいます」とルディスは話す。そして（言うまでもなく高価な）これらのネット対応デヴァイスは、アップグレードするまでこの先何十年も脅威にさらされてしまうことだろう。

「自動アップデート」が救世主となる？

絶望感が浸透しつつある。IoTのセキュリティ問題は広く深く影響があるし、KRACKがそれを完全に暴露してしまったため、もはや完全に諦めることが正解であるかのように思えてしまう。

だがその必要はない。ここ数カ月はもちろん、数年前からIoTのセキュリティ問題を解決する、もしくは少なくとも滑稽なほど無防備なレヴェルからは脱するよう修正する動きがある。

ここで話を少しルーターに戻そう。もしあなたが旧型モデルをおもちなら、ほぼ確実にアウトだ。実際、ある程度古い機種であれば、そもそも今回の脆弱性が見つかったWPA2をサポートさえしていないかもしれない。しかし、インターフェースに容易にアクセス可能なアプリを搭載した新世代メッシュネットワークルーターには一筋の光も見える。決定的な点は、自動アップデート機能がついてくるところだ。

つまり、実際にKRACKが出てきても、同社がユーザーへ即座にこの問題を警告するとともに、アクセスポイントウェブ管理GUIの操作どころか、何もしなくても所有者にパッチが提供されるというわけだ。

ここで当初から参入しているメッシュネットワーク企業の一つであるEeroを見てみよう。同社はKRACKのニュースが報じられて数時間以内に自社のベータ製品の顧客にパッチを自動配布した。パッチに想定外の副作用がないことを保証すべく徹底的なテストを行ったあと、同社はKRACKに対応したパッチをユーザー全員にまとめて配布したのだ。

EeroのCEO、ニック・ウィーヴァーは「弊社のシステムはこのようなシナリオを徹底的に想定してデザインされています。製品すべてにアップデートを配布する必要があるときでも、ほぼ即座に対応できます。それが、弊社製品の主要機能のひとつなのです」と話す。

自動アップデートにも独自の問題はある。Lockstateというスマートロックの会社は8月、バグのあるソフトウェアを配布して自社製品のひとつが意図せず固まってしまうというミスを犯した。一部の顧客は、自分の鍵を同社に送り返して「リセット」しなければドアをロックできなくなってしまったのだ。

これは望ましいことではない。ハッカーたちも自動アップデートを利用し、ウクライナ（および複数の大手多国籍企業）を今夏苦しめたNotPetyaのように、マルウェアを広範囲に配布している。

利便性とセキュリティの間のリスク計算が常につきまとったとしても、特に蔓延前にあらゆるバグを叩く徹底的なベータテストにおいては、IoTの自動アップデートが確実に役立つように思える。「適切に行われると仮定すれば、自動アップデートはデメリットよりメリットの方が大きいのです」とムーアは話す。

ネットギアも、よりハイエンドのOrbiメッシュネットワークシステムでこのモデルを採用している。シャーによると、同社は「可能な限り多くの製品でアップデートに対応する」予定だという。だが、それもすでに市場に出てKRACKの影響を受けているルーターには一切役立たない。

セキュリティの規制を設ける必要性

ゆっくりとではあるが、ほかの業界でも改善は進んでいる。アップルのHomeKitのようなスマートホームエコシステムでは、市場参入コストとして特定のセキュリティ要件を満たす必要も出てきた。IoT業界がこれらのプラットフォームの融合を目指し続けるなか、各社のデヴァイスがセキュリティを確保する基本的な能力と、その整合性を維持する意気込みを少なくとも示す必要があるのだ。

そして、対応に失敗すれば規制の不安が浮上してくる。ヴァージニア州選出のマーク・ワーナー上院議員は、スマートデヴァイスに対してセキュリティに一定の最低条件を課す法案を8月に提出している。まだあまり関心は集めていないものの、KRACKのようなセキュリティの崩壊が幅広く知れ渡れば、ほかの国会議員も注目することを余儀なくされる可能性がある。

ワーナーは『WIRED』US版に対して声明を出した。「WPA2の脆弱性は幅広く採用されたコンポーネントやプロトコルにある脆弱性の影響を浮き彫りにし、急増するIoTのために基本的な予防措置要件を選定することの重要性を明らかにしています」と彼は述べている。

このような対策は多少は有用かもしれないが、それで十分かどうかについて専門家はまだ懐疑的だ。

連邦議会でIoTのセキュリティ問題について証言したフーは次のように語っている。「最終的には何らかの規制、少なくとも基準となるサイバーセキュリティの予防措置を奨励するための政策に基づく手法が登場すると感じます。悲しいことに、いまのところ基準は満たされていません。エボラ熱に感染してからティッシュを渡しているようなものなのですから」

Rapid7のルディスは、別の業界の既存の枠組を例に挙げ、次のように提案する。「クルマに重要な脆弱性があった場合、自動車メーカーにとっていつからその脆弱性が存在しているかは問題ではありません。それが特定されたらリコールを実施し、それを修理もしくは交換しなければならないのです」

これとほぼ同様の制度が、ネット対応医療デヴァイスにも当てはまる。企業各社はリコールを告知するだけでなく、徹底的に対処して消費者にそれぞれ直接コンタクトする必要がある。ただ、しばらくはそれがIoTの広い世界にもち込まれる可能性は低いと思われる。

IoT セキュリティの苦痛を癒す万能薬はないと思われる。最も期待できるのは、企業各社が一段と素早い対応を可能にするとともに、さらに迅速な問題修正を実現することだ。そして、消費者がそれを重要なセールスポイントであると考えるようになり、いまのところはひとつも存在しないコスト上のインセンティヴをつくり出すことである。

「われわれは、突然大惨事が発生するのではなく、緩やかに障害が生じるようこれらの条件を整えていく必要があるのです」と、フーは話す。これはさほど無理な要求であるように思えない。しかし、KRACKのような大惨事は、IoT普及への道のりがまだ長いことを示しているようだ。

みんなの感想は？