ソフトバンクグループのBBソフトサービスはこのほど、一般家庭のスマート家電やスマートデバイス、ネットワークに接続するIoT機器を襲うサイバー脅威の実態把握と防止策の研究を目的とした、横浜国立大学との共同研究の中間報告をまとめた。
この研究では、横浜国立大学 情報・物理セキュリティ研究拠点の施設内に、一般家庭を想定したコネクテッドホームの試験室をつくり、国内で販売されているスマート家電、ネットワーク機器、IoTデバイスなどを設置。サイバー攻撃やマルウェアの侵入・活動についての観測や、攻撃を受けた際のネットワーク機器への影響を調査したほか、その防衛策についても研究した。
2017年6月の研究開始からこれまでにどのような発見があり、今後のネットワークセキュリティにどのような示唆が得られたのか。BBソフトサービス オンラインセキュリティラボのシニアエヴァンジェリストである山本和輝氏に話を聞いた。
――まず、今回の研究の背景や狙いについて教えてください。
研究背景にあるのは、世界的なIoTウイルスの感染活動拡大です。世界的な課題となっており、その認識を改めて世の中に啓発する狙いがあります。最近では、2016年9月に「Krebs On Security」というセキュリティブロガーのサイトが攻撃され、それを契機にしてSpotifyやNetflixといった大手サービスが大規模なDDoS攻撃を受けました。また同年11月には、ドイツテレコムのネットワーク機器を狙ったサイバー攻撃が発生し、結果的に失敗したのですが、それでもモデムなどの機器が被害に遭い大規模な通信障害が起きるという事案が発生しています。こうした攻撃が失敗しても、一般ユーザーに被害が発生しているケースも数多く存在するのです。
こうしたサイバー攻撃拡大の背景にあるのが、ダークサイドビジネスの暗躍です。実は“IoTを狙ったサイバー攻撃”といっても、その多くの場合は昔からあるDDoS攻撃。そのDDoS攻撃のためのシステムを提供するサービスビジネスと、こうしたサービスを利用した脅迫ビジネスが両輪となって、サイバー攻撃が増え続けていると考えています。中でも最近では、IoT機器を狙ったマルウェアによるDDoS攻撃を実現するためのシステムが増加しているのです。
DDoS攻撃システムを利用した脅迫ビジネスというのは日本には馴染みがないかもしれませんが、海外では大規模なスポーツイベントの開催に合わせてオンラインのブックメーカーサイト(賭博サイト)が数多く立ち上がります。そうしたサイトはユーザーからの賭け金で儲けるわけですが、攻撃者は賭け金が一番集まるタイミングに合わせて「サイトを攻撃する」と脅迫するのです。サイト運営者はその攻撃によって数百億円という莫大な収益=ユーザーからの賭け金を失うことになり、サイトに障害が起きれば信用は失墜する。そこで、脅迫に屈して金銭を攻撃者に支払ってしまうのです。こうした場合には表沙汰にしない場合が多いですね。失う収益や信用と脅迫者に払う金銭、どちらが高いのかというシチュエーションを作り出して非攻撃者を追い込んでいます。
もちろん、攻撃者の利益にならずビジネスとして成立しないのであれば、こうした攻撃は減っていくでしょう。しかし、現状では犯罪者は収益を挙げており、ダークサイドビジネスは増加を続けています。
――サイバー攻撃の対象となっているのは、主に企業のサイトやシステムが多いですが、IoT機器の普及によって個人も攻撃の対象になる可能性が高いのでしょうか。
そうですね。これまでのサイバー攻撃では主にグローバルIPを使用したネットワーク機器が主な対象となっていましたが、こうした機器は攻撃に対する防御技術が発展して攻撃しにくくなっています。そこで最近では、LANの内側にあるIoT機器が攻撃対象になるのではないかと考えています。ルータで閉じられたLANの中というのは安全ではないのかと感じる方もいるかもしれませんが、実はユーザー自身がLANの中に脅威を引き込んでしまう可能性もあります。また、ゲートウェイであるルータそのものが乗っ取られてしまう可能性も否定できません。だから、決してLANの中が安全だと考えてはいけないのです。
個人をターゲットにしたダークサイドビジネスで活況なのは、ご存知の通りネット詐欺やランサムウェア、データ盗難などですね。日本国内だけでも推定で200億円以上の被害が生まれています。こうした犯罪とIoT機器が結びつくと脅威はさらに大きなものになるという危機感を持っています。今後、一般家庭への攻撃によって個人のプライバシーが盗まれて、その拡散を脅迫をされるというケースも考えられます。こうした場合の精神的なストレスは計り知れないでしょう。犯罪者にとっては企業をターゲットにするよりも一般家庭をターゲットにしたほうが対象の規模が大きい。そのスケールメリットに注目されると脅威はより大きくなるのではないかと考えられます。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス