トラブルの巣窟 (1)

サイバーレジリエンス
トラブルの巣窟
 IoT のセキュリティについては、ここ5年ほどでずいぶんと理解が進みました。その結果、市中に出回っている粗悪な IoT 製品がトラブルの巣窟であることが分かってきました。海外では Internet of Things ではなく Internet of Troubles だと揶揄するような報道記事もあり、なるべく恐怖を掻き立てずにコッソリと問題を指摘して改善したい日本とは対照的です。
 「ちょっと待て、IoT が普及しはじめてから5年間、専門家は何をやっていたんだ?」
そう疑問に思った人も多いでしょう。「あらゆる IoT をサイバー攻撃から守る若き天才ハッカー」や「IoT セキュリティの専門家集団」がなんとかしてくれているはず、と力なく夢想するすることも容易でしょう。

 しかし現実を知る皆さんであればお分かりの通り、あらゆる専門家集団は力のない夢想だけで動いているのではありません。お金を燃やしながら、ビルの1フロアまるごと専門家集団で埋め尽くしたことがある経営者なら容易に理解できると思います。

 さて、IoT はカネになるキーワードでしょうか。今なら DX をキーワードに予算獲得している人は多いと思います。AI で、かろうじて、といったところでしょうか。もはや IoT のセキュリティなんて、手垢のついたキーワードでは財務省からの予算獲得も難しいでしょう。

 つまり、IoT セキュリティが予算化可能なキーワードとしては消費されて、おカネがつかなくなったわけです。そこに、人間のサボり癖と自己肯定バイアス満載でつくられた「粗悪な IoT 製品」の波がひっきりなしに押し寄せてくる。。というわけです。

 別の言い方をすればこうです。マーケットとしては「浸透・拡大フェーズ」に入っているというのに、IoT セキュリティは一度たりとも「浸透・拡大フェーズ」に入ることなく燃料切れです。IoT 製品を作っている企業は国内だけでもビル10棟に収まらない規模かと思いますが、IoT セキュリティを今でも研究している忠実な研究者はビルの1フロアにすっぽり収まってしまうでしょう。

 そりゃあ、トラブルの巣窟となるのは無理もない、と感覚的に納得されたのではと思います。では、どんなトラブルが我々を待ち受けているのでしょうか。大量の監視カメラを乗っ取った Mirai ボットネットがインターネットを騒がせたのは2016年で、その作者である米国ニュージャージー州のカレッジの学生ら3名が逮捕されたのは2017年末のことでしたが、それで悪夢は終わりではなかったのでしょうか。
プロトコル脆弱性の巣窟
 国内で IoTセキュリティの関心も薄れた頃、つまり昨年から、IoT セキュリティについて相次いで重大発表がなされました。なるべく恐怖を掻き立てずに穏便にすませたいのか、あるいは英語圏の脆弱性情報をメディアがさっぱり見ていないのかは私にはわかりませんが、一言でいえば、IoT製品は「プロトコル脆弱性の巣窟」だということが白日のもとに晒されて、海外では大騒ぎになりました。

 2019年7月 — IoT機器やネットワーク機器などで広く使われている組み込み機器向けの OS である VxWorks の TCP/IP 通信機能に、11件の脆弱性が発見されました。このうち6件は遠隔から命令が実行できる脆弱性で、非常に深刻です。そのほかの脆弱性もサービス妨害攻撃などにつながるもので、医療用機器などでの影響が懸念されます。この一件で、組み込み機器の OS は最近の Windows などパソコン用のOSと比べてセキュリティ面での作りが古く、簡単に攻撃できてしまうということが広く知れ渡りました。

 同年同月 — Linux の TCP/IP 通信機能に致命的な脆弱性が発見されました。TCP SACK という、デフォルトでは有効になっている機能に脆弱性があり、これを悪用された場合、ネットワーク越しに OS を異常終了させてしまうことができるというのです。Linux は IoT むけの OS としてはかなりのシェアを占めているうえに、TCP/IP のような動いて当たり前、つながって当たり前の機能に10年前から存在していた脆弱性が昨年になってようやく発見されたということで、セキュリティ業界に大きな衝撃が走りました。

 2020年6月 — Treck 社が販売していた TCP/IP 通信ライブラリに、19件の脆弱性が発見されました。なかでも、少なくとも2件は遠隔からコードが実行できる脆弱性で、非常に深刻です。この TCP/IP通信ライブラリは組み込み機器向けにひろくライセンス販売され、少なくとも66社が製品に組み込んで使用しており、産業用制御機器、プリンタ、医療機器、電力網、家庭用製品、小売機器などへの影響が懸念されています。この一件で、ソフトウェアのサプライチェーンの上流に脆弱性が見つかった場合、広範囲に影響を受けるということが知れ渡りました。

 いずれも数億台から数十億台の IoTデバイスに影響を与える脆弱性なので、ソフトウェアの改修や機器のソフトウェア更新にかなりの期間が必要です。このあたりを忖度して黙っておくというのも日本では不思議と歓迎されるお作法ですが、良識ある事業者ではそろそろ改修も一巡したことと思います。また海外では事態を問題視した規制当局による IoT セキュリティ規制が矢継ぎ早に打ち出されており、周回遅れの事業者がいきなり北米の連邦裁判所に呼び出されて手痛い罰金刑を食らう前に、コラムでも書いておくか、ということで今回の記事に至った次第です。

 プロトコル脆弱性は非常にやっかいです。どうやっかいなのか、については私の過去のコラム「通信プロトコルの脆弱性」でおおまかに説明しているので、遡って見ていただければと思います。


今回はこれくらいにしておきましょう。次回も引き続き、IoT のセキュリティについてお話ししたいと思います。

門林 雄基

アクセリア株式会社 主幹研究員
奈良先端科学技術大学院大学 先端科学技術研究科 教授

◆crash.academyで動画講座公開中です。(動画視聴には会員登録が必要です。)
https://crash.academy/lecturer/kadobayashi