マイクロソフト セキュリティ レスポンス センターが8月5日に投稿した記事「Corporate IoT – a path to intrusion」より
伊藤僑
Free-lance Writer / Editor
IT、ビジネス、ライフスタイル、ガジェット関連を中心に執筆。現代用語辞典imidasでは2000年版より情報セキュリティを担当する。SE/30からのMacユーザー。著書に「ビジネスマンの今さら聞けないネットセキュリティ〜パソコンで失敗しないための39の鉄則〜」(ダイヤモンド社)などがある。
プリンターなどのIoT機器からハッカーが企業に侵入!
8月5日、マイクロソフトから驚くべき発表があった。ロシア軍の諜報機関と通じているとみられるハッカー集団が、IoT機器を経由して多くの企業ネットワークへ侵入していることが判明したというのだ。
その手口は、インターネットに接続されたプリンターやビデオ機器、IP電話などのIoT機器をターゲットにするというもの。これまで、企業ネットワークへの侵入手口としては、脆弱性対策を怠ったPCやマルウェアを仕込んだUSBメモリ、フィッシングメールなどを用いることが多かったため、セキュリティ対策上の盲点になっていた侵入経路といっていい。
マイクロソフトの発表によれば、IoT機器経由での侵入を許してしまった原因の多くは、IoT機器の導入・運用におけるミスで、「IoT機器のパスワードが工場出荷時のままだった」、「最新のセキュリティ更新プログラムを適用していなかった」ことなどが確認されている。
攻撃を実施したとみられるハッカー集団は、「ATP28」や「Fancy Bear」「Strontium」という名称で知られる悪名高きチーム。これまでにも米民主党全国委員会への侵入など、複数のハッキング行為への関与が発覚している。
同ハッカー集団の活動を1年間にわたって監視してきたマイクロソフトは、実際に侵入された、もしくは標的となった組織約1400件に通報している。その内訳は、およそ80%が政府機関や民間企業で、残り20%は非政府組織やシンクタンク、政治関連団体だった。オリンピック組織委員会やアンチドーピング機関も標的となっていたようだ。
MSの発表でNOTICEの有効性が実証されることに
今回のマイクロソフトによる発表を受け、筆者が思い出したのは、日本政府がサイバー攻撃対策の一環として2月20日から実施している、IoT機器に対する脆弱性の洗い出し調査および注意喚起の取り組み「NOTICE(National Operation Towards IoT Clean Environment)」のことだ。
総務省が所管する国立研究開発法人・情報通信研究機構(NICT)が実施しているNOTICEは、国内のIoT機器に対し、まず、接続要求を行ってセッションを確立できるかを確認し、ID、パスワードを求められた場合には、過去のサイバー攻撃に用いられたID、パスワードの組み合わせを試すというもの。
他者が所有・管理する機器に、推定したID、パスワードを用いて侵入する行為は、本来不正アクセス禁止法で禁じられているが、サイバー犯罪抑止のため、例外的に「特定アクセス行為」として5年間に限って認めることとなった。
他国でも例がない、かなり踏み込んだ調査方法のため、政府による不当な監視ではないかと批判する声も少なくなかった同調査。だが、「IoT機器のパスワードが工場出荷時のままだった」ことなどが侵入を許す原因となったことが判明した今回のマイクロソフトの発表によって、図らずもその有効性が実証されてしまったわけだ。
一度侵入を許してしまえば、ハッカーは機器間を移動しながら継続的に不正アクセスを行い、情報の盗難や機器の遠隔コントロール、破壊行為などを行うことができる。いまや企業にとって、IoT機器へのセキュリティ対策は必須のものになったといえるだろう。
いまのところ被害は受けていないと安心してはいけない。侵入後しばらくは、あえて破壊行為などを行わずに潜伏し、攻撃のタイミングを計っていることも考えられるのだ。
総務省とNICTは、NOTICEに加えてマルウェアに感染しているIoT機器の利用者へ注意喚起する取り組み「NICTERプロジェクト」も6月中旬から新たに始めている。
IoT機器の導入・運用において、セキュリティ対策の重要性は今後ますます高まっていくことだろう。
キヤノン製カメラにもサイバー攻撃可能な脆弱性が
8月6日には、「こんな製品もサイバー攻撃可能なIoT機器に含まれるのか」と、ちょっと驚かされる発表がキヤノン/キヤノンマーケティングジャパンからあった。
サイバー攻撃が可能なIoT機器というと、プリンターやスマートスピーカー、スマートテレビ、ビデオレコーダー、ネットワークカメラ、ルーターなど、常時ネットに接続されている機器を思い浮かべる人が多いのではないか。
そのため、画像の転送時やファームウェアのアップデート時など、ごく限られた際にしかネット接続を行わないデジタル一眼カメラ/ミラーレスカメラや、コンパクトカメラがサイバー攻撃の対象になり得ることを警戒しているユーザーはほとんどいなかったことだろう。
ところが、キャノン製デジタルカメラが実装しているPTP(画像転送プロコトル)通信とファームウェアアップデートに関する脆弱性が見つかったというのだ。
Check Point Software Technologiesによる発表
同脆弱性を悪用されると、カメラが正常に動作しなくなる、遠隔から任意のコードを実行される、正規ではないファームウェアを実行される、ランサムウェア攻撃が可能になるなどの恐れがあるという。
同製品のユーザーは、すでに発表されている安全な利用方法を参照した上で、対策済みのファームウェアアップデートが提供され次第、速やかに適応させる必要がある。
今後は、短時間、不定期といえどもネット接続を利用する機器は、すべてサイバー攻撃の対象になる可能性があることを自覚しておく必要がありそうだ。