IoTってなに?その2
前回(IoTってなに?その1)、IoTはめんどくさがりやのエンジニアから生まれたことをご紹介しました。あれから26年経った今、モノがインターネットを介してつながるだけではなく、変化に応じてアクションを起こしてくれることで、IoTが私たちの生活を劇的に便利にしてくれています。
たとえば、遠隔で家の鍵を操作できるようになったり、家にいる子供やペットの様子をスマートフォンから確認できたり、生活のさまざまな場面で活用されています。
その一方で、知らない人が鍵を開けて家に入れるようになったら・・・。
自宅の動画を見られて、いない時間帯を知られたら・・・。
セキュリティ面がしっかりしていないと不安ですよね。
最近では、5月中旬から「WannaCry(ワナクライ)」と呼ばれるコンピューターウイルスが世界中で猛威を振るいました。国内でも、大手企業のシステム障害が発生するなど、セキュリティの大切さを実感するニュースでしたね。
独立行政法人情報処理推進機構(IPA)が2017年1月31日に発表した「情報セキュリティ10大脅威 2017」では、「組織にとっての脅威」のランキングの8位に「IoT機器の脆弱性の顕在化」として、IoT機器の脅威が、今年初めてランクインするなど、IoTが普及して便利になる部分だけでなく、脅威となる部分も注目されてきています。
アメリカであった本当に怖い話
今や日本でも大人気の動画や音楽の配信サイト。
あるDNSサービス(URLの名前と、実際に接続するサーバーのIPアドレスを変換する仕組み)を利用してサービス提供していました。
そのDNSサービスはIoT機器(監視カメラなど)を運用している会社も利用していました。
そして事件は起きてしまったのです。Miraiというマルウェア(悪いソフトウェア)に感染し、ウェブサイトがつぎつぎダウンしてしまったのです。
Miraiとは?
– セキュリティへの意識の低いIoT(今回の場合は監視カメラ等)から侵入
– Miraiに感染した大量のIoT機器に、サーバを同時に攻撃するように指示(DDos攻撃)
– コンピューターセキュリティ専門のジャーナリストのサイトでさえも3日間以上ダウンさせてしまう!
IoT機器のパスワードが出荷時の初期設定だった事が要因の一つだったようです。
例えば、IDパスワードをID:admin PW:1234のまま使用を続けていたIoT機器を踏み台に攻撃をしていったということです。
IoT機器たちが大量にゾンビ化して襲ってきた!!!イメージです。
(ここでいうゾンビ化がボット化といわれるものです)
Miraiにアタックされると、サーバに負荷がかかりすぎ、サイトがダウンしてしまいます。
インターネットでのサービスを主にしているサイトが数日ダウンした場合の被害額は?と考えると、想像もつきませんがすごそうですよね。
そもそも、なぜIoTが狙われたのか?
これはあくまで一説ですが、今までマルウェアの感染対象とされていたIT機器は、セキュリティに関しての知識と経験のあるIT企業のエンジニアが設置や保守を行ってきました。
しかし、IoT機器(たとえば、家電や監視カメラ)などの設置を行っているのは、以前までIoTじゃなかった機器(例えばアナログの防犯カメラ)の設置をしていた方なので、パスワードが脅威になるという意識が低かったのでは?という憶測もあるようです。
冷蔵庫を各家庭に設置していたお兄さんにIoTのセキュリティ教育が必要なんて今までは誰も思わなかったという事情があるかもしれません。
Miraiやほかの障害事例で、IoT業界もセキュリティへの意識は大幅に改善されてきています。
たとえば「冷蔵庫の設置」のようにITに関する知識がいらないと思える作業でも、ある程度ITの知識のある人材が必要とされる時代になってきているのかもしれませんね。
次回は、シリコンバレーでIoTセキュリティのスペシャリストとして活躍している方にIoTのセキュリティの最前線を伺うべくインタビューする予定です!