IoT機器の脆弱性は、攻撃者にはよく知られている一方、開発者や利用者はあまり認識していない。こうした状況を変えるため、国内外の研究機関との連携を強化していく。新たな試みとして、おとりネットワークカメラを使った観測も実施した。
ここまで説明してきたIoT機器への脅威は氷山の一角だ。なぜなら今回は当研究室が観測できる範囲でしか観測していないからだ。
またグローバルに行われる攻撃しか観測していない(ローカルな攻撃は観測できない)、Telnetによる侵入に限定している、攻撃元の機器を確認できるケースは3割弱しかなく、7割は相手の機器が明確に分かっていない、といった点を考慮すると、実態はより深刻といえるだろう。
第1回、第2回で見てきたように、IoT機器の大量感染の主な元凶はTelnetサービスにある。多様なはずのIoT機器がTelnetという共通のセキュリティ問題を共有してしまっているのである。多様性が失われているため大量感染が起きている。
問題は、こうした危険な状況を攻撃者側は知っているのに、製造者側や利用者側が認識していない点にある。ネットワーク攻撃の4~5割がTelnetを狙ったものであるのは、こうした現状認識のギャップを象徴している。
IoT機器の開発者がTelnetを開発段階で利用するのは仕方ない。だが、セキュリティを考えれば、機器の出荷段階には少なくともインターネットからアクセスが可能なポートについてはTelnetサービスを停止すべきだ。
ところが実際には、こうした処置を施さずに販売されている機器が多数存在する。メーカ-がカスタマイズした組み込みOSを様々な製品の開発に使う際、Telnetが動作したままのケースがある。この場合、各製品の開発者自身もTelnetが動作していることすら認識していない可能性がある。
サイバー攻撃の観測網を拡充
事態を改善させるには、IoT機器の脆弱性を明らかにするともに、マルウエアの感染状況や脅威の変遷の正確な把握と情報提供が欠かせない。当研究室では今後もIoT機器に対するサイバー攻撃の観測網を拡充する計画だ。能動的観測と受動的観測を融合させた「サイバーセキュリティ情報収集分析機構」を横浜国立大学内に設ける準備を進めている(図1)。
同時に海外の研究機関との連携も強化する。現在は国内を中心に設置しているハニーポットを海外にも拡充する予定だ。既にオランダ、中国、台湾には設置を完了した。今後も米国、イギリス、ドイツ、フランス、スペイン、香港、シンガポール、タイ、インド、オーストラリアに展開する準備を進めている(図2)。さらに国内外の多くの研究機関、セキュリティ対策実施機関に対する情報提供や、ハニーポットの観測結果や収集したマルウエア検体の提供を行っている(図3)。
