【技術記事】サイバーセキュリティシンポジウム道後2019 レポート

3/7、3/8の日程で行われたサイバーセキュリティシンポジウム道後に参加してきましたので、個人的に気になっていたIoT分野についてのレポートを掲載いたします。

トピック1 IoTとサイバーセキュリティ

■IoT狙いのサイバー攻撃が増加している
情報通信研究機構(NICT)が実施しているNICTERプロジェクトのダークネット(※1)観測結果によると、近年はIoT機器を狙ったサイバー攻撃が増加している。なぜIoT機器が狙われるのかというと、

・大量にあるIoT機器をメンテナンスできない
・古いOSライブラリ・ツール
・プロトコルの使用・組み込みプロセッサの利用
・脆弱な危機を検索するサービス(shodan, censys)の存在

などにより、従来のデバイスよりもセキュリティレベルが低い傾向にあるためである。特に2018年の傾向として特筆すべきは、従来の23/TCP(Telnet)を狙った攻撃が半減した半面、その他のIoT機器固有の脆弱性を狙う攻撃が増加した事である。事例として、2018年7月9日より急増した5555/TCP宛の通信が挙げられる。これはネットワーク経由の ADB(Android Debug Bridge)が有効になっているAndroid OS搭載機器を狙ったものであった。この事象をShodanで分析すると、日本国内ではホストの過半数をケーブルテレビ向けセットトップボックス及びAndroidエミュレータ(スマホゲームをPCでプレイする人が多い?)が占めている事が分かった。一方海外では、前述の機器以外にもデジタルサイネージやドライブレコーダ、カーナビゲーションシステム、SIM フリーのスマートフォンなど多様な機器が含まれていた。NICTの調査により、これらの機器では⼯場出荷時もしくは OS のインストール時から ADB が不⽤意に有効になっていたことが明らかになった。これらの機器にグローバル IP アドレスが直接割り振られた結果、攻撃の対象となりマルウェア感染が広まったと考えられる。なお、このマルウェアの攻撃活動としては2種類が観測されており、1つは仮想通貨Moneroのマイニング用Android APKをインストールし、採掘活動を行う事、もう1つは対象機器内に存在するその他のマルウェアを削除する事(機器内のリソースを占拠するため)が確認されている。スマートフォンを含むAndroid OS 搭載機器を使⽤しているユーザは、不⽤意に ADB を有効にしていないか、各機器がグローバル IP アドレスを持ち外部から直接アクセスできる状態になっていないか、⾒覚えのないアプリケーションはインストールされていないか、機器のファームウェアは最新版に更新されているか (ファームウェアアップデートは公開されていないか)、などを確認し、脅威の緩和に務めることが推奨される。 

詳細なレポートはこちらに公開されている。http://www.nict.go.jp/cyber/report/NICTER_report_2018.pdf

■お宅のIoT機器、初期パスワードのままになっていないか?
IoTセキュリティインシデントを象徴する出来事として、2016年10月21日に発生した米Dyn社のDNSサーバに対する大規模DDoS攻撃(※2)が挙げられる。これによりTwitter、Netflixなどのサービスが使用できなくなる、という事態が発生した。この大規模なDDoS攻撃の背景には、IoT機器を踏み台とするマルウェア「Mirai」の存在があったようだ。Miraiは、踏み台とするIoT機器(Webカメラやルータ、デジタルビデオレコーダーなど)を狙い、特定のユーザ名とパスワード(ユーザ名root、パスワード1234など)を複数回試行することによりログインを試み、ログインが成功した場合に感染する。IoT機器のユーザの多くが工場出荷状態のまま使用していたという問題もあり、このマルウェアに多くが乗っ取られ、大規模DDoS攻撃の踏み台とされてしまった。NICTが昨月発表し、「政府による不正アクセス(※3)」と物議を醸したNOTICEプロジェクト(※4)は、こうした状況を憂慮し実施しているものである。皆様が所持しているルータ、Webカメラ、その他IoT機器についても、一度ユーザ名とパスワードの確認を行った方が良いだろう。


※1・・・ダークネットとはインターネット上で到達可能かつ未使用のIPアドレス空間のことで、・ホストは存在しない・応答を返さない・マルウェアの感染活動などを観測できるといった特徴がある。
※2・・・複数のコンピューターから標的のサーバへネットワークを介した大量の処理要求を送り、サービスを停止させてしまう攻撃のこと。
※3・・・平成30年11月1日に施行された「電気通信事業法及び国立研究開発法人情報通信研究機構法の一部を改正する法律」によりNICTの業務に「サイバー攻撃に悪用されるおそれのある機器の調査」が追加され、それが不正アクセスでない法的根拠となっている。
※4・・・NOTICEプロジェクトでは全国にあるWebカメラ、ルータ、センサなどのIoT機器を対象にID・パスワード約100通りを試し、侵入に成功したIoT機器が見つかった際はインターネットプロバイダを通し注意喚起が行われる。マルウェアMiraiを意識したセキュリティテストとなっている。https://www.nict.go.jp/press/2019/02/01-1.html

トピック2  Audio Adversarial Example

学生による研究発表のセッションで気になったキーワード。人間では認識できない範囲でFMラジオ、BGM等に微小なノイズを載せ、スマートスピーカーに命令する攻撃手法のようだ。詳しくは下記記事に詳しい。音声認識を悪用した攻撃の場合、ライブ会場やテレビ等の放送を通じて一斉にデバイスへの攻撃が行われてしまうため、非常に恐ろしい。
https://gigazine.net/news/20180201-audio-adversarial-examples/

(大塚)