IoT機器の脆弱性は、攻撃者にはよく知られている一方、開発者や利用者はあまり認識していない。こうした状況を変えるため、国内外の研究機関との連携を強化していく。新たな試みとして、おとりネットワークカメラを使った観測も実施した。

 ここまで説明してきたIoT機器への脅威は氷山の一角だ。なぜなら今回は当研究室が観測できる範囲でしか観測していないからだ。

 またグローバルに行われる攻撃しか観測していない(ローカルな攻撃は観測できない)、Telnetによる侵入に限定している、攻撃元の機器を確認できるケースは3割弱しかなく、7割は相手の機器が明確に分かっていない、といった点を考慮すると、実態はより深刻といえるだろう。

 第1回、第2回で見てきたように、IoT機器の大量感染の主な元凶はTelnetサービスにある。多様なはずのIoT機器がTelnetという共通のセキュリティ問題を共有してしまっているのである。多様性が失われているため大量感染が起きている。

 問題は、こうした危険な状況を攻撃者側は知っているのに、製造者側や利用者側が認識していない点にある。ネットワーク攻撃の4~5割がTelnetを狙ったものであるのは、こうした現状認識のギャップを象徴している。

 IoT機器の開発者がTelnetを開発段階で利用するのは仕方ない。だが、セキュリティを考えれば、機器の出荷段階には少なくともインターネットからアクセスが可能なポートについてはTelnetサービスを停止すべきだ。

 ところが実際には、こうした処置を施さずに販売されている機器が多数存在する。メーカ-がカスタマイズした組み込みOSを様々な製品の開発に使う際、Telnetが動作したままのケースがある。この場合、各製品の開発者自身もTelnetが動作していることすら認識していない可能性がある。

サイバー攻撃の観測網を拡充

 事態を改善させるには、IoT機器の脆弱性を明らかにするともに、マルウエアの感染状況や脅威の変遷の正確な把握と情報提供が欠かせない。当研究室では今後もIoT機器に対するサイバー攻撃の観測網を拡充する計画だ。能動的観測と受動的観測を融合させた「サイバーセキュリティ情報収集分析機構」を横浜国立大学内に設ける準備を進めている(図1)。

図1 構想中のサイバーセキュリティ情報収集分析機構のイメージ
能動的観測と受動的観測を融合
[画像のクリックで拡大表示]

 同時に海外の研究機関との連携も強化する。現在は国内を中心に設置しているハニーポットを海外にも拡充する予定だ。既にオランダ、中国、台湾には設置を完了した。今後も米国、イギリス、ドイツ、フランス、スペイン、香港、シンガポール、タイ、インド、オーストラリアに展開する準備を進めている(図2)。さらに国内外の多くの研究機関、セキュリティ対策実施機関に対する情報提供や、ハニーポットの観測結果や収集したマルウエア検体の提供を行っている(図3)。

図2 ハニーポットの設置状況
観測地点を海外にも拡大
[画像のクリックで拡大表示]
図3 協力関係にある各国の研究機関やセキュリティ対策実施機関
観測結果の提供・技術提供を相互に行う
[画像のクリックで拡大表示]

この先は会員の登録が必要です。有料会員(月額プラン)は申し込み初月無料!

日経 xTECHには有料記事(有料会員向けまたは定期購読者向け)、無料記事(登録会員向け)、フリー記事(誰でも閲覧可能)があります。有料記事でも、登録会員向け配信期間は登録会員への登録が必要な場合があります。有料会員と登録会員に関するFAQはこちら