• Column
  • ツナガル社会を守るサイバーフィジカルセキュリティ

サイバー公衆衛生の向上が脆弱なIoT機器を守る

「IoTセキュリティフォーラム 2022 オンライン」より、横浜国立大学の吉岡 克成 氏

ANDG CO., LTD.
2022年12月22日

偽のマルウェアを作り攻撃者の動向を監視

 インターネット上でオープンになっているGitHubなどに攻撃コードが公開されると「攻撃の発生リスクは30倍に高まる。逆に、これらのプラットフォームをモニタリングすれば、攻撃の増加を早期に捉えられる」と吉岡氏は話す。

 攻撃コードを入手した攻撃者は、IoTハニーポットも攻撃してくる。その際の攻撃ホストは、マルウェアに感染したIoT機器か、攻撃者が用意した攻撃サーバーかだ。「感染したIoT機器からの攻撃が特定の脆弱性を狙うのに対し、攻撃サーバーはより多様な脆弱性を狙う傾向にある」(吉岡氏)という。

 ある1つの脆弱性に着目すると、初期段階では2〜3の攻撃サーバーから試行的な攻撃が実行され、攻撃の目処が立つと一気に大規模化する。吉岡氏は「攻撃の大規模化は、マルウェアの中に攻撃コードが入ったタイミングで起こる傾向がある。乗っ取った機器が新たな攻撃元になり、攻撃ホストがねずみ算的に増えていくためだ」と説明する。

 IoTハニーポットでは、大量のマルウェアの検体が収集できる。「その検体を安全な環境で攻撃者と通信させ長期間泳がせておくことで、攻撃側から、さまざまな命令が検体に届き、攻撃の動向がつかめるようになる」(吉岡氏)という。

 ただし本物のマルウェアを長期間動かし続けることにはリスクがある。そのため吉岡氏は、偽のマルウェア「ミルカー」を作り、攻撃者のサーバーに接続してコマンドを監視している。「本物のマルウェアを使わないため安全なうえ、並行して大量の観測ができる。現在は400以上のミルカーが並列で動作し、180の攻撃者サーバーを定常的に監視している」(吉岡氏)。

 もう1つの観測手法である能動的観測では、感染はしていないが脆弱性や設定不備があるIoT機器を探し出している。インターネットを広域にスキャンし脆弱なシステムを探す「広域スキャンシステム」が種々の組織で使用されている。

 そのなかでも吉岡氏らは、重要IoT機器の探索にフォーカスする。重要IoT機器とは、治水や防災、発電など重要な施設を遠隔監視するためのデータロガーや制御機器を指す。「そこでのアクセス制御の設定に不備があれば、見られてはいけないものが外部から見られたり操作されたりしてしまうことがある」(吉岡氏)からだ。

誰が、誰に、どう注意喚起するかで効果は大きく変わる

 サーバー攻撃を詳細に監視する理由を吉岡氏は、「危ない状況が見つかれば注意を喚起をし、サイバーハイジーンを向上させたいためだ」と説明する。サイバーセキュリティの注意喚起とは、「特定の相手に具体的な方法で“特定のセキュリティ問題”を伝える活動だ」(吉岡氏)と定義する。「誰が、どのような方法で、誰に注意喚起するかによって、その効果が大きく異なる」(同)と考えるからだ。

 注意喚起の成功例として吉岡氏は、「総務省重要IoT機器調査および注意喚起2020」を挙げる。NTTコミュニケーションズが全体をとりまとめ、横浜国大もスキャン調査や脆弱性調査などを実施した。

 同調査では、900件以上の重要IoT機器と13件のゼロデイ脆弱性を発見。利用者が特定できたものについては電話等で状況を伝えた。「83%の施設が何らかの対応を実施した」(吉岡氏)という。

 吉岡氏は一般ユーザーに対する注意喚起も研究している。その1つが「NICT WarpDriveプロジェクト」だ。ユーザーに専用アプリケーションをインストールしてもらい、攻撃を検知したら、そのアプリを通じて感染していることを伝え対策を打ってもらう。注意喚起による改善率は、通知していないユーザーの3倍だった。

 さらに2022年2月からは、アプリなしで注意喚起と情報提供ができる感染検査Webサービス「am I infected?」の運用を開始した(図1)。同サービスにアクセスした際のIPアドレスを対象に攻撃や脆弱性の有無を調べ、その結果をメールで知らせる。メールでは、脆弱性が見つかったりマルウェア感染の可能性がある場合に取るべき行動も知らせる。

図1:注意喚起・情報提供ができる感染検査Webサービス「am I infected?」の仕組み

対策を打った後の再検査が重要

 2022年6月時点で感染検査Webサービスが検知した感染数は89件、脆弱性の検知数は293件だった。取るべき行動も伝えることで、「感染への対応では92.3%の改善が、脆弱性検査では半数以上で改善が見られた」(吉岡氏)とする。ただし注意喚起効果が確認できるのは再検査を実施したユーザーのみである。

 吉岡氏は「対策後に再度サイトにアクセスし再検査をしてほしい。だが多くユーザーは検査後に対策を実施する段階で終わってしまっている。それでは注意喚起の効果を十分に検証できないため、サイトの仕様を改善したいと考えている」と語る。

 一方、注意喚起を受けても対策を試みなかった理由をアンケートで確認したところ、「技術的に困難なケースが多く存在した。ユーザーサポートの充実が今後の課題だ」(吉岡氏)とする。

 感染検査Webサービスについて吉岡氏は、「一定の効果を上げているとはいえ、問題はサイトにアクセスしない始まらないことだ。いかに本サービスの存在を周知し、サイトに呼び込むかが大事だ」と訴えた。