IoTが普及するにつれ、さまざまな課題が浮き彫りになりつつある。そうした課題の1つが、セキュリティ対策だ。国もその脅威を認識しており、総務省はIoTセキュリティ対策の推進を目的に設置した「サイバーセキュリティタスクフォース」を通じ、「IoTデバイスはサイバー攻撃の対象になりやすく、日本でもIoTデバイスを狙ったサイバー攻撃が年々増加傾向にある。外国ではIoTデバイスによる深刻な被害が発生しており、早急なIoTセキュリティ対策が必要だ」と提言している。

企業システムのネットワークは、ファイアウォール、IDS／IPS（Intrusion Detection System／Intrusion Prevention System＝不正侵入検知／防御システム）、マルウェア対策などさまざまなレイヤーでセキュリティ対策が講じられている。しかしIoTデバイスは、無防備な状態でインターネットに接続されているケースも少なくない。例えば一般家庭用ルーターやWi-Fiアクセスポイント、監視カメラの多くはセキュリティ対策が施されていないまま使われている。

さらにHEMS（Home Energy Management System＝ホームエネルギーマネージメントシステム）／BEMS（Building Energy Management System＝ビルエネルギーマネージメントシステム）、スマートメーターをはじめとする多種多様な制御システム、医療機器のように社会に直接影響を及ぼす重要インフラで利用されているIoTデバイスの中にも、セキュリティ対策が不十分なものがある。

このようなIoTデバイスは、悪意あるサイバー攻撃者にとって格好の標的だ。それゆえIoTデバイスがマルウェアに感染するという事象は、近年急激に増えている。筆者がサイバーセキュリティタスクフォースの構成員、横浜国立大学大学院の吉岡克成准教授を取材したところ、2016年10月の1カ月だけで133万IPアドレスからのサイバー攻撃が押し寄せたそうだ。この数字は吉岡准教授がIoTデバイスを狙うサイバー攻撃の手口を分析するために作成した「IoTハニーポット」による観測システムによるもので、攻撃元のほとんどはマルウェアに感染して踏み台になったIoTデバイスからだった。

なぜIoTデバイスは狙われるのか。IoTデバイスは機能や性能が限定されているにもかかわらず、開発者が意図しない／想定しない使い方ができる可能性がある。しかも企業システムなどとは違って運用監視を行っているわけではなく、ライフサイクルも長いからだ。

IoTデバイスというとセンサーと通信モジュールだけで構成されるものを漠然とイメージしてしまうが、多くのIoTデバイスはコンピューターそのものである。CPUやメモリが搭載され、OSの上に各IoTデバイスの機能を実現するアプリケーションが載っている。そして、インターネット経由で外部から制御するためのWebサーバーやTelnetサーバーが稼働している。

問題はこのWebサーバーやTelnetサーバーにある。これらは当然、ID／パスワードによって保護されているのだが、初期設定を変更しないまま使われている場合があるのだ。例えばID／パスワードが「admin／admin」という初期設定のIoTデバイスは非常に多いが、これをそのまま使っていては何のためのID／パスワードなのかわからない。そのため、いとも簡単に不正ログインが成功し、あっという間にマルウェアに感染して攻撃の踏み台にされてしまうのである。

このようなマルウェア感染による大規模なインシデントはすでに発生し、被害も報告されている。その1つが「Mirai」というマルウェアだ。このマルウェアがIoTデバイスに感染すると、C&C（コマンド＆コントロール）サーバーからボットをダウンロードすると同時に、次の感染先を探すという挙動を行う。ボットはC&Cサーバーからの指示を待ち、例えばHTTPリクエストやUDPパケットを大量に送りつけるようなDDoS（分散型サービス妨害）攻撃に加担する。Miraiの場合、感染しているIoTデバイスの数が莫大であるため、ターゲットにされたサイトのサービスは簡単にダウンしてしまうのだ。

2016年以降は「Miraiに対抗する」と銘打った、新たなマルウェアも登場している。その1つ「Hajime」と名づけられたマルウェアは、Miraiとほぼ同じ方法で感染する。ただし感染したあとに、いくつかのTCPポートを遮断して他のマルウェアの感染を予防するような動作をする。またDDoS攻撃を仕掛ける機能も持たない。「IoTデバイスを守る善意のハッカーが作成した」とも言われているが、大規模なボットネットを構築できる可能性もあり、予断は許されない。

もう1つ、2017年になって確認された新手のマルウェアに「BrickerBot」がある。このマルウェアはIoTデバイスに感染すると同時に、IoTデバイスのストレージを破壊して全ファイルを消去する。初期状態に戻そうとしても復旧できない、非常に悪質なマルウェアだ。

セキュリティ対策が不十分なIoTデバイスは、マルウェア感染だけでなく情報漏えいを引き起こす危険性もある。実際に日本国内で起きたのが、大規模商業施設やホテル、病院などに設置されている地下水処理システムの事例だ。このシステムはインターネット経由で監視する仕組みだが、管理画面にそのままアクセスできる状態になっていた。管理画面では施設の名称や動作状況が閲覧可能だったという。

このほかIoTデバイスに関する脅威として、表1のような事例がある。またインターネット経由で監視カメラの映像を“盗み見”できてしまうサイトがあるが、これもIoTデバイスのセキュリティ対策の不備による事例と言えるだろう。

では、IoTデバイスのセキュリティ対策はどのようにすればよいのだろうか。すでに流通して稼働しているIoTデバイスについては、最低でも初期設定のID／パスワードを無効にしたり、WebサーバーやTelnetサーバーのサービスを停止したりする必要がある。場合によっては、メーカーからファームウェアの最新版を入手して適用しなければならないこともある。

すでに感染してしまったIoTデバイスは、早急にネットワークから取り外し、システムを初期化する。復旧手段が用意されていない旧型のIoTデバイスであれば、新型にリプレースするのが最良の手段となる。

さて、ここまではIoTデバイスを取り扱うことがあるエンジニアの方々に、IoTに迫る脅威とセキュリティ対策の重要性を紹介してきた。しかしIoTのセキュリティ対策は、もはやIT部門だけで対応できるものではない。IoT機器メーカー、サービス事業者、企業経営者、利用者など、どの立場であっても、IoTセキュリティには真剣に取り組まなければいけないときが訪れている。

そうしたIoTに関わるすべての人を対象に、IoTのセキュリティに対する取り組み方や役割分担をまとめたのが「IoTセキュリティガイドライン」である。総務省・経済産業省が中心となって産学官連携で設立した「IoT推進コンソーシアム」が2016年7月に公表したものだ。

ガイドラインでは、IoT機器やシステム、サービスの提供にあたってのライフサイクル（方針、分析、設計、構築・接続、運用・保守）における指針とともに、一般ユーザーのためのルールも定めている（主な内容は表2参照）。

本稿ではガイドラインの詳しい解説は控えるが、内容はごく基本的なものであり、誰でも理解できるように平易に書かれている。全文を読む必要はないが、概要版（http://www.soumu.go.jp/main_content/000428394.pdf）だけでも目を通しておくとよいだろう。

IoTセキュリティガイドラインが策定されたことからもわかるように、IoTセキュリティは、もはや企業にとって欠かせない取り組みだ。その対策は、ネットワーク側だけでなくエッジ側のIoTデバイスでも施す必要がある。まずは自社のIoTシステム環境についてセキュリティのリスクや脆弱性を調査し、IoTソリューションベンダーを巻き込みながら最適な対策を講じていきたいものだ。