派遣で働くエンジニアのスキルアップを応援するサイト

PRODUCED BY RECRUIT

【イベントレポート】IoTセキュリティとソフトウェアの脆弱性を考える

株式会社リクルートスタッフィングが運営するITSTAFFINGでは、弊社に派遣登録いただいている皆さまのスキル向上を支援するイベントを、定期的に開催しています。

2019年3月8日のイベントでは「マジメだけどおもしろいセキュリティ講義 ~IoTセキュリティとソフトウェアの脆弱性をめぐる議論~」と題し、書籍『マジメだけどおもしろいセキュリティ講義』の著者でもあるすずきひろのぶさんを講師にお迎えして、コンピュータセキュリティの最前線について教えていただきました。

■今回のイベントのポイント
・大規模DDoS攻撃を引き起こしたMIRAIのケーススタディ
・過去例からIoT機器の脆弱性について考える
・現状におけるIoT機器のセキュリティの問題を整理
・脆弱性情報流通の枠組みと運用について
・政府のあたらしい取り組みNOTICE

【講師プロフィール】
すずき ひろのぶ(鈴木裕信)さん
1985年、株式会社SRAに入社。UNIXやネットワーク関連のソフトウェア開発を経験後、同社ソフトウェア工学研究所にてネットワークやソフトウェア品質の研究を行う。1997年にソフトウェア・コンサルタントとして独立。JPCERT/CCの立ち上げ時から運営に参加し、現在も一般社団法人JPCERTコーディネーションセンター理事として情報セキュリティに携わるほか、実践女子大学、専修大学、中央大学で非常勤講師として勤めると同時にユニバーサル・シェル・プログラミング研究所に在籍しSELinuxの実践的利用の研究や実践的IoTセキュリティの研究を進める。

大規模DDoS攻撃を引き起こしたMIRAIのケーススタディ

セキュリティにおいて、注目すべきホットな話題が、IoT機器をボット化させてDDoS攻撃をしかけたマルウェア(悪意を持つソフトウェア)「MIRAI」の登場です。

MIRAIを知る前に、まずDDoS攻撃について説明されました。DDoS攻撃は、いわばDoS攻撃の進化版です。DoS(Denial of Services:サービス拒否)攻撃でもいちばん困るのは、正常に見えるアクセスを大量にサーバに送り付け、処理をマヒさせてしまうというもの。

しかし、単一のIPアドレスから送信されるパケットは制御可能な上、サーバ側の処理能力が攻撃側の処理能力を上回っていれば攻撃は成り立ちません。パソコンを一台、二台用意しただけでは企業や官庁などの規模のサイトを麻痺させることはむずかしいのだそうです。

そこで登場するのがDDoS(Distributed DoS:分散サービス拒否)攻撃です。一斉に異なるIPアドレスからパケットを送り付けてオーバーフローさせてしまうというもの。どれだけ多くの攻撃ノードを用意できるかが重要になってくるそうです。

f:id:itstaffing:20190424120150j:plain
▲DDoS攻撃のイメージ。マルウェアに感染した攻撃botが、ターゲットとなるサーバに一斉に攻撃を仕掛ける(出典: 講演スライドより)

2016年9月に登場した「MIRAI」は、約14万5千もの攻撃ノードから、1秒間に9300万パケット、転送量にして約799Gbpsの攻撃を仕掛けたそうです。すずきさんによれば「このパケット量に耐えられるシステムはそうそうありません」とのこと。

では、なぜMIRAIは、このような前代未聞の大量攻撃を仕掛けることができたのか。それは「IoT機器が攻撃ノードとして使われたから」だそうです。

今では、街中のいたるところに設置され、防犯や安全に貢献しているカメラですが、それらはIPネットワークで接続されており、撮影画像を送信するために通信機能を備えています。

MIRAIは、こうしたネットワークカメラ1台1台に内蔵されているコンピュータに侵入し、C&Cサーバと呼ばれる司令塔からの命令によって、一斉攻撃を仕掛ける仕組みになっています。また、MIRAIは非常に考えて作られており、感染したマルウェアが周辺のIPアドレスをサーチし、見つけた対象のアーキテクチャ(ARM、X86、SuperH、MIPS等)に最適なバイナリを送り込みます。そうして、わずか72時間で、約14万5千もの攻撃ノードを手に入れたのだそうです。恐ろしいですね。

MIRAIのC&Cサーバも設計が練られていて、200万台のノードをコントロールできるように設計されていたそうです。200万台のノードが一斉攻撃を仕掛けると考えただけでも、ぞっとします。

MIRAIの感染対象はインターネットカメラが搭載する「組込みLinux」というOSでしたが、これはインターネットカメラだけでなく、家庭で利用しているブロードバンドルータなどにも利用されています。そして、感染した機器には共通の条件がありました。telnetのポートをオープンにしていたこと、デフォルトアカウントからroot権限が使えたこと、管理用ログインアカウントとパスワードが出荷時のままであったこと、などです。

この話を聞くと、自宅のブロードバンドルータのパスワードを購入時のものから変えておいたかどうか、不安になる方もいるかもしれません。

ちなみに、MIRAIを作成した犯人はすでに逮捕されており、MIRAIおよびC&Cサーバのソフトウェアは公開されており、その手口は解明済みです。

現状におけるIoT機器のセキュリティの問題を整理

イベントでは、このほかにも、東芝のHDDレコーダーや、I・Oデータ機器のネットワークカメラなどが狙われた過去の事例や、海外事例としてHospira Lifecare PCA輸液ポンプのroot権限が乗っ取り可能という重大な脆弱性が存在していたケースなども紹介されました。輸液ポンプは医療現場で使われるだけに、人命に直結する脅威です。

こうしたIoT機器が、今後も狙われることは間違いなく、新たな対策が必要です。その対策の1つとして、すずきさんが紹介してくれたのが「SHODAN」というサービスです。

f:id:itstaffing:20190424120153j:plain
▲SHODANを使えば、自分が使っているIoT機器が外部からどう見えているかがわかる (出典 https://www.shodan.io

「SHODAN」は、合法的な手法で、オンラインになっているサービス機器を見つけるサービスです。インターネット側からアクセス可能なIoT機器はインターネットに接続した瞬間に、第三者に見つけられるのは時間の問題になります。それなら、「SHODAN」を使って、自分たちの設置したIoT機器が、外部からどう見えているのかを確認しておこうというポジティブな使い方をすずきさんは提案していました。本来はインターネット側からアクセスされる意図はなかったのにアクセスできてしまうような誤った設定などを見つけるのにたいへん有用で、これはIPA(独立行政法人 情報処理推進機構)も推奨しています。

また、別のアプローチとして、IoT機器のネットワーク空間をインターネットから切り離し、セキュアな仮想ネットワークを構築するという試みもあり、すでに株式会社ソラコムやニフティ株式会社が、そうしたサービスを提供し始めています。

f:id:itstaffing:20190424120155j:plain
▲IoT機器をインターネットから切り離されたセキュアな仮想ネットワークで接続する取り組みもある(出典:講演スライドより)

脆弱性情報流通の枠組みと運用について

また、重要な課題であるソフトウェアの脆弱性についても、これを周知させるため、中立的な第三者による、統一した脆弱性情報ハンドリングの必要性についても説明しました。

米国では、これを国家安全保障の範囲と捉え、米国土安全保障省(DHS)の資金提供によるMITREという団体が脆弱性情報のハンドリングを行っていて、NIST(米国立標準技術研究所)では、脆弱性情報のデータベース化も行っているそうです。

一方、日本国内では、JPCERT/CCやIPAが経済産業省の告示に従い、海外とも連携しながら脆弱性情報のハンドリングを行っています。

f:id:itstaffing:20190424120158j:plain
▲日本国内での脆弱性情報のハンドリングはJPCERT/CCやIPAが推進。国際連携もしっかり行っている

政府のあたらしい取り組みNOTICE

最新の話題として、2019年1月に、総務省とNICT(情報通信研究機構)と各インターネットサービスプロバイダが連携してIoT機器への無差別侵入調査・注意喚起を行う「NOTICE」という取り組みが発表されました。

f:id:itstaffing:20190424120203j:plain
▲NOTICEは、botが行うような試みをNICTが行い、安全予防に対する注意喚起を行う

この「無差別侵入」が不正アクセス禁止法に触れるのではないかという疑念もありましたが、一方で、ルータやネットワークカメラのデフォルトパスワードはマニュアルに記載されて公知なものとなっており、「みだりに第三者に知らせてはならないものとされている符号」に当たらないという見解も主流になりつつあります。しかし、昨今の状況からそのままでは警察や検察がどう解釈するかは予想できません。

そこで、NOTICEの実施にあたっては法改正を行い、通称「NICT法」の中に新たに「特定アクセス行為」という概念が取り入れられました。

f:id:itstaffing:20190424120206j:plain
▲NICT法では合法的に新たに「特定アクセス行為」という概念が盛り込まれた(出典:講演スライドより)

今後は、IoT機器の販売に対してデフォルトパスワードのままでは使えなくなるように指導が入る流れが予想されるものの、海外製品の国内OEM販売などでも徹底できるかどうかなど、不透明な部分も多々あります。

いずれにしても、IoT機器が私たちの身近にどんどん増えていくことは間違いありません。こうした動きに、もっと敏感になっておく必要がありそうです。