IPA「情報セキュリティ10大脅威」
IPA(独立行政法人情報処理推進機構)が2015年3月に発表した「情報セキュリティ10大脅威2015」では、2014 年において社会的影響が大きかったセキュリティ上の脅威について次のように順位づけしています。
1位 インターネットバンキングやクレジットカード情報の不正利用
2位 内部不正による情報漏えい
3位 標的型攻撃による諜報活動
4位 ウェブサービスへの不正ログイン
5位 ウェブサービスからの顧客情報の窃取
6位 ハッカー集団によるサイバーテロ
7位 ウェブサイトの改ざん
8位 インターネット基盤技術を悪用した攻撃
9位 脆弱性公表に伴う攻撃
10位 悪意のあるスマートフォンアプリ
ちなみに、2014年版では次のようにな順位でした。
1 位 標的型メールを用いた組織へのスパイ・諜報活動
2 位 不正ログイン・不正利用
3 位 ウェブサイトの改ざん
4 位 ウェブサービスからのユーザー情報の漏えい
5 位 オンラインバンキングからの不正送金
6 位 悪意あるスマートフォンアプリ
7 位 SNS への軽率な情報公開
8 位 紛失や設定不備による情報漏えい
9 位 ウイルスを使った詐欺・恐喝
10 位 サービス妨害
多少表現は違いますが、おおよそ挙げられている脅威の内容はよく似ているようです。大きく違うとすれば、2位の「内部不正による情報漏えい」ではないでしょうか。昨年は「内部犯行・ルール違反」として11にあげられていましたので、脅威としての影響が大きくなったと言えます。
「情報セキュリティ10大脅威2015」で懸念するIoTのセキュリティ
報告書では、解決すべき課題、問題視されている脅威や今後大きな脅威となると考えられる懸念についても述べています。2014年版では、次の3つを挙げていました。
1 ネットワーク対応機器の増加~サーバーやパソコン以外の機器も攻撃対象に~
2 エンドポイントセキュリティの重要性~最新のソフトウェアを使用することがセキュリティ対策の近道~
3 インターネット利用の低年齢化に伴う問題~未成年者がネット犯罪の加害者・被害者になってしまう~
しかし、今回の2015年版では、次の3点をあげ、「モノのインターネット(IoT)」を初めて取り上げて今後の脅威となることへの懸念を示しています。
1 迅速に対応できる体制の構築~脆弱性対策情報の公表や事件発生に対応可能な体制作り~
2 ネットワーク対応機器の増加~モノのインターネット(IoT)にもセキュリティ対策を~
3 拡大するネット犯罪の被害~巧妙化するウイルスやネット詐欺による金銭被害~
2014年版で取り上げている「ネットワーク対応機器の増加」で対象としている接続機器とは、具体的は「複合機/プリンター」「ウェブカメラ」「NAS(Network Attached Storage)」「ルーター」「デジタル液晶テレビ」「ブルーレイディスクレコーダー」「ゲーム機」でしたが、今回の報告書の「ネットワーク対応機器の増加」では、「工場の制御機器」「センサー機器」「ウェアラブルデバイス」という言葉で語られています。
報告書が指摘する「ネットワーク対応機器の問題点」
今回の報告書(2015年版)では、ネットワーク対応機器に対するセキュリティ上の懸念はサーバーやパソコン等と類似しているとして、攻撃を受ける主な要因を次のように述べています。
セキュリティを充分考慮していない設計初期状態では認証無しに誰でも機能にアクセス可能である等、多くの機器は未だにセキュリティを考慮せず設計されている。初期状態で利用している機器が被害に遭うことが多い。
インターネットからアクセス可能な状態機器が直接インターネットに接続している場合に攻撃を受ける可能性を利用者が充分に認識できていないことが多い。
更新(アップデート)されない機器パソコンのソフトウェアとは異なり、更新のための修正プログラム(アップデート)が自動で配信されない機器が大多数を占める。製品開発者のウェブサイトで修正プログラムが提供されていることに気付かない場合や、工場等では安定稼動の継続を重視して修正プログラムを適用できない場合もある。また、脆弱性が存在するにも関わらず製品開発者からアップデートが提供されない機器もある。
管理者不在の機器サーバーやパソコン以外のオフィス機器は、ネットワークやシステムの管理者の管理対象外になっていることが多い。
その上で、製品開発者やシステム管理者、および利用者に向けて次の留意点を示しています。
製品開発者
初期状態でセキュリティの高い設定にする。取り扱うデータに対してプライバシーの侵害や情報漏えい対策を行う。また、セキュリティの懸念があれば、利用者に対して注意喚起を行うと共に迅速に対策を講じる。
システム管理者
ファイアウォールやブロードバンドルーター等の通信機器を用いて、ネットワークの境界を設け、インターネットからのアクセスを制限する。また、企業・組織においてはネットワーク接続機器にもセキュリティポリシーを定めて適用する。インターネット側から接続可能な機器が無いかを検査することも重要である。
利用者
インターネットへの接続に関わらず、機器をネットワークに接続する際に、攻撃者からアクセスされる可能性を充分に認識し、適切に機器のセキュリティを設定して利用することが重要である。
(IPA「情報セキュリティ10大脅威2015」より)
ノキアが考えるIoT時代に想定されるセキュリティー脅威
ノキアはIOTのセキュリティ脅威を図のように大きく5つに分けてとらえているようです。
1 サービスの混乱・・・利用しているサービスが使えなくなる
2 システムの妨害と破壊・・・SIMやデバイスが論理的に乗っ取られる
3 システムの乗っ取り・・・乗っ取られた端末からのDoS攻撃などによるシステム自体の乗っ取り
4 情報へのアクセス・・・機密情報の漏えい
5 システムの不正操作・・・誤ったセンサー情報を提供する
(http://wirelesswire.jp/2015/06/30969/ より)
FTCリポートがあげるIoT特有の課題
FTCのリポート「Internet of Things: Security & Privacy in a Connected World」では、IoTが世界中で拡大することに伴う特有の課題を大きく4つ挙げています。
1 重要情報への無断アクセスやその不正利用が増える
個人や工場などで生み出される大量のデータがサイバー犯罪の格好のターゲットになる。
2 IoTに関連する周辺システムにもリスクが拡大する
IPネットワークの拡大は、パソコンやスマホに限定されていた脅威が、その他のシステムに波及する可能性が高まる。
3 安全性への脅威
例えば、医薬や健康を管理する機能などは、少しのズレで致命的な事故につながる可能性がある。
4 プライバシー問題
監視ネットワークが強化され、一方で、個人の詳細な情報が盗まれて悪用されるリスクが伴う。
NTTコミュニケーションズの「セキュアIoTフレームワーク」
NTTコミュニケーションズ株式会社の小山覚氏はIoTのリスクは顕在化しているとして、脆弱なブロードバンドが踏み台となって発生している事例を示しています。
〇 機器の脆弱性を外部から悪用し、第3者に攻撃を行う
(例)DNSAmpやNTPAmpなどのリフレクション攻撃
NTP(Network Time Protocol)は、パソコンの時刻を⾃動で補正する等の⽬的で、NTPサーバに問合せを行う際に用いられますが、その際、回答先IPアドレスを他人のIPアドレスに書き換えることで、大量の通信を集中させネットワークを麻痺させ、さらには、攻撃を中継したISPもシステム停止等の被害を受けてしまいます。
〇 機器の脆弱性や容易なパスワードから侵入し、攻撃や犯罪に利用する
(例)機器を不正に操作し、攻撃の踏み台として悪用する
(例)ISP接続情報が抜かれ、別の機器から、第三者に成りすまして悪事を働く
(産官+国際連携によるセキュアIoT フレームワーク構築について〜東京2020に向けた取組み〜NTTコミュニケーションズ株式会社 小山 覚より)
その上で、IoTの世界では管理者不在のデバイス「野良IoT」の増加、長期にわたって使い続けられるデバイスの増加、2020年には250億個のデバイスがつながると言われ、あまりの数に攻撃の踏み台にされても気づかれない可能性が生じるとして、「所有者への注意喚起と脆弱性対策」「NWからの切り離しによる安全確保」「セキュリティバイデザイン」などとともに、世界中で最もセキュアで利便性の⾼いIoT社会の実現に向けた技術的、組織的な「セキュアIoTフレームワーク」の構築を提唱しています。
(産官+国際連携によるセキュアIoT フレームワーク構築について〜東京2020に向けた取組み〜NTTコミュニケーションズ株式会社 小山 覚より)
これは、「Internet of Things」を「Intranet of Things」とし、ゲートウェイを介してインターネットに接続する仕組みにするものです。
また、ISPが通信パターンから攻撃の踏み台になっているデバイスを発見した場合に、やむを得ず通信の遮断を行うこともあり得るため、そうしたことが円滑に行えるようにする法整備も必要であり、デバイスメーカー、ネットワークサービスを提供するISP/通信事業者の他に国も加えた3者が一体となって取り組む必要があるとしています。
CODE BLUEから
CODE BLUEは、IoT(Internet of Things)の時代を迎え、セキュリティ対策の重要性が高まるなか、世界各国の研究者を招集し、CODE(技術)によってBLUE(海)を超えて人と人をつなぎ、よりよいインターネットの世界作りのために世界トップクラスの情報セキュリティ専門家による最先端の講演と情報交換・交流の機会を提供することを目的として行われている国際会議です。
2014年12月に行われた会議の基調講演から、Iotとセキュリティについて紹介します。
〇ケレン・エラザリ KEREN ELAZARIの基調講演
現在、GagaOm reserch にて新たなセキュリティ技術を研究するセキュリティ業界リサーチアナリストであり、Singularity Universityのセキュリティ技術教員でもあるケレン・エラザリ KEREN ELAZARIは、サイバー・セキュリティの問題とその対策を5つの視点から次のように述べています。
1.あらゆるものがサイバー・セキュリティの対象に
リアルな世界のあらゆる「もの」がセキュリティの問題に脅かされており、GPSや航空機や船の管制システムなど、社会にとって重要なインフラにもセキュリティの懸念は広がっている。2010年にイランの核施設を標的とした攻撃で有名となったマルウェア「Stuxnet」はセキュリティ問題の深刻さを表している。走行している船に偽の位置情報を与えてコースを変えたり、糖尿病患者のインスリン・ポンプを誤作動させたりといったことも十分起こり得る。
2.悪人たちは「創造的で革新的で協力的」
サイバースペースの悪人たちは常に新しいものを「発明」している。その代表的なものが、Zeus(ズース)や、CryptLocker(クリプトロッカー)といったマルウェアだ。また、「マルヴァタイジング」と呼ばれる悪質な広告も増加している。さらに、アンチウイルスソフトだと思ってインストールするとウイルスに感染してしまう、偽アンチウィルスソフトも出回っている。
これに対抗するためには、すべての人が、発見したバグや脆弱性などの情報を公開し、共有するべきだ。
3.白日のもとにさらすことより優れた解毒剤はない
政府などによって、セキュリティホールとなるバグの存在が秘密にされれば、すべての人が脅威にさらされたままになる。まず事実を明らかにすることが必要だ。100年前、米国のある最高裁判事が言った「白日のもとにさらすことより優れた解毒剤はない」という言葉は、サイバー・セキュリティの世界にもあてはまる。
4.セキュリティはもっとも弱い鎖からくずれる
脆弱性はもっとも弱いパートナーから入り込んでしまう。これを解決するには、すべての人をエンパワーするしかない。「サイバー防火訓練」というものもある。サイバー攻撃を受けた時、まず最初にどうするか、どのような対応をとるかなど、防火訓練と同じように日頃から緊急事態に対応する訓練をしておくものだ。
5.「ギャップ」を埋める
セキュリティ専門家と、一般の人々、現場の人々とマネジメント、セキュリティ業界とメディアのなど、それぞれの立場でセキュリティに対する考え方や理解の深さにギャップがある。どんな種類の攻撃なのか、どんな種類のマルウェアなのか、いつ誰に対しておきたのかなど、より具体的で現実的な対話を行ってギャップを埋めることが大事である。
(Gooニュース http://news.goo.ne.jp/article/wired/trend/wired-140153.html より)
〇インバー・ラズ INBAR RAZ
脆弱性発見の専門家であるインバー・ラズは「物理セキュリティ:サイバー・セキュリティがすべてではない」と題した講演で、レストランのPOSシステムから病院のタイムレコーダーまで、誰もが知っているさまざまな機器を自分自身で「ハック」した手口を紹介しました。
屋外テラスのあるレストランの中にはPOS端末を屋外に設置している店舗がありますが、閉店後、端末が接続されていたイーサネットのコネクタは、無防備にさらされたままになっています。その無防備なコネクタにPCを接続し、やすやすとサーバーに侵入して、顧客のクレジットカード情報と取引履歴を取得するまでの手口の一部始終を披露しました。
その他にも、映画館のキオスク端末や病院のタイムレコーダー、空港のエンターテイメント端末などに侵入した方法を紹介し、わたしたちに身近なシステムがいとも簡単に「ハック」できることを示しめしました。
(Gooニュース http://news.goo.ne.jp/article/wired/trend/wired-140153.html より)
〇関連リンク