2016年11月14日
危ういモノのインターネット
2000年代初め、壇上で未来のサイバー環境を予言したものだ。それは現在も変わらない。当時の私は、冷蔵庫が電子レンジにスパムを送りつけ、これらの家電が一緒になってコーヒーメーカーにDDoS攻撃を仕掛ける日がやってくると警告した。冗談ではない。
そんな「イカれた教授」のような発言に聴衆は眉をつり上げ、忍び笑い、手をたたき、中には記事にした者もいたようだ。総じて私の凶事の予言は、単なる冗談としか受け取られていなかった。当時差し迫っていたサイバー脅威の方がよほど心配だと考えられていたからだ。「イカれた教授」が言うことだから仕方がない、といったところだろう…
…ある日の新聞を開くまでは。
いまやどの家庭にも、どんなに古い家であっても、多数の「スマート」デバイスがあることだろう。数台だけ(電話、テレビなど)の家もあれば、スマートデバイスだらけの家もある(IPカメラ、冷蔵庫、電子レンジ、コーヒーメーカー、サーモスタット、アイロン、洗濯機、乾燥機、ブレスレット型フィットネス端末など)。最近では設計段階からスマートデバイスが組み込まれている家もある。こういったスマートデバイスはすべて家庭のWi-Fiネットワークに接続され、巨大で自律した、そして非常に脆弱なモノのインターネットを作り上げている。その規模は、90年代初頭から我々にとってお馴染みの伝統的なインターネットを、すでに上回っている。
ありとあらゆるもの、台所のシンクまでもインターネットに接続させるのは、もちろん理由がある。家庭用電化製品をすべてスマートフォンから遠隔操作できれば便利だからだ(一部の人たちにとってだが(笑))。それが、ちょっとした流行でもあるし。だが、このモノのインターネットの進化によって、私の凶事の予言は現実味を帯びることになる。
ホットなニュースをいくつか:
先日、Twitter、Amazon、PayPal、Netflixなど80以上の大規模Webサイトがダウン、または断続的にアクセスできなくなった。その原因は、影響を受けたサイトにDNSサービスを提供している企業、Dynを狙ったDDoS攻撃だったことが判明した。「ああDDoS攻撃か。インターネットで時々あるよね」と思った方もいるだろう。だが詳しく調査すると、Dynを攻撃したのは何と、IP対応カメラやDVRなどのIoT機器で構成されるMiraiボットネットだったのだ。
Miraiは比較的単純なマルウェアだ。インターネット上をスキャンしてIoTデバイスを探し出し、既定のログインIDとパスワードを使ってそのデバイスに接続し、管理権限を手に入れ、ハッカーからの指令を実行する。この類いのデバイスでは既定のログインIDとパスワードが変更されることは滅多にないので、ボットネットの戦力として数十万のゾンビを集めるのも朝飯前だったのだ。
アマチュアハッカーの手により、多種多様なスマートデバイスで作り上げられた単純なボットネットだが、一時は世界最大級のインターネットサイトを深刻な中断に追いやるほどの威力を持っていた。実は、このボットネットは前にも姿を現していた。ブライアン・クレブス(Brian Krebs)氏のブログを標的にした史上最強のDDoS攻撃(ピーク時の攻撃規模は665 Gbpsに達した)の中でだ。
近い将来、大量のポップコーン、あるいは抗うつ剤が大いに役立つことだろう。
Miraiの規模は55万ボットほどと推定される。一方、IoT全体を構成するデバイスは70~190億台と考えられている(あと5年もすれば、500億台に達する見込み)。では、そのうち何台が脆弱で、何台がハッカーによる攻撃の戦力になるのだろうか?それに答えるのは簡単ではないが、確かなのは、Miraiにはちょっとやそっとでは済まないトラブルを引き起こす可能性が、ちょっとやそっとではないくらい高いことだ。このマルウェアのソースコードがサイバー地下フォーラムで公開されている。つまり、ヘロストラトスばりの野望を持つ大量のアマチュアハッカーも含め、興味のある者なら誰でも自由にそのテクニックを利用できる。
感染したIoTデバイスの所有者は、まさか自分のデバイスが攻撃に加担しているとは思わなかっただろう。同じように、今この瞬間に自分のIPカメラが名だたるネットサービスへのDDoS攻撃に利用されていても気づかないだろうし、送信トラフィックがわずかに増えたからといってデバイスに最低限の保護手段(新しいログインIDとパスワードを設定するくらい基本的なもの)を講じる気も起こさないだろう。だが、無害とはほど遠いサイバー脅威もある。スマートホームを恐怖の悪夢に陥れ、しかも家主の財布を空にするかもしれないほどの脅威が。
見えざる脅威
サイバー搾取者がここ数年で何十億ドル稼いだかを、私自身で見積もるつもりはない。まあ「たくさん」だろう。さまざまな法執行機関とITセキュリティ業界との協調的な取り組みにもかかわらず、暗号化型ランサムウェアや画面ロック型ランサムウェアはまるで伝染病のようにインターネット中に蔓延している。もはや、自分自身も身近な人も攻撃を受けたことのない人などいないだろう。
ランサムウェアビジネスは順調だが、絶えず高みを望むのが地球上のビジネスの常だ。数十億台もの脆弱なIoTデバイスの登場は、まさにグッドタイミングだったわけだ。悲しいことに、スマート機能搭載の冷蔵庫や乾燥機の持ち主は、自宅の家電がサイバー犯罪者の興味を引くとは思っていない。まあ、ある意味ではそのとおりだ。たしかにサイバー犯罪者は冷蔵庫や乾燥機には興味がないが、それらを人質に身代金を手に入れることには興味津々だ。で、どうなるかというと…
…たとえばこんな感じだ(これはサーモスタットの例だ)。
玄関のドアが開かない。真冬なのに暖房が切れている。コーヒーメーカーが延々とエスプレッソを作り続けて止まらない。テレビがポルターガイスト状態。掃除機が陽気に踊っている。残念ながら、こういったハッキングはSFなどではなく、現実に十分起こり得ることなのだ。
新しい市場にはありがちな話だが、IoT機器のメーカーは高機能化競争にかまけてセキュリティを疎かにしてきた。
そう、もちろん当社は専門技術と効果抜群の製品を駆使して救済する覚悟だ(当社のテストラボは家電用品店のようになりつつある)。だが、我々がわかっているのは過去に起こったことだけで、救済は後手に回る可能性がある。それは、家電製品の設計段階で当社が相談を受けることがないからだ。メーカーにとってセキュリティは二の次、利用者にとって脅威の実態は未知の世界なのだ。
スマートデバイスは、意味なく括弧付きで「スマート」デバイスと呼ばれているわけではない。結局のところ、これらのデバイスの頭脳は携帯電話のわずかなメモリに収まるほどしかない。スマートデバイスを括弧なしで書けるようになるまで、メーカーにはまだまだ長い道のりがある。「真の」スマートにたどり着くまでにどのくらい時間がかかるのかはわからない。つまり、「世界を救う」こと、世の中のお金を守ることは、我々の手にかかっているのだ。そこで、親愛なる読者の皆さんに提案がある。ルーターやプリンター、その他もろもろのIoT機器を少なくとも基本的なセキュリティで保護する作業に、今すぐ取り掛かっていただきたい。
ステップ1:ログインIDとパスワードを変更する。すでに既定のログインIDとパスワードから変更済みであっても、今一度。
ステップ2:メーカーのサイトから最新のパッチを入手してインストールする。
ステップ3:上記の2つのステップを3か月ごとに実行するよう、スマートフォンのリマインダーを設定したり、スケジュール帳に書いたりしておく。
そうすれば、ブライアン・クレブス氏、実際にはインターネット全体に感謝されることだろう。そして皆さん自身がこんな状況に遭遇する心配もない。
モノのインターネットに対する次なる脅威は何か?IoTを標的とする #ランサムウェア だと@E_KASPERSKYが明言Tweet