ページの本文へ

Hitachi

自治体ICT 応援サイト CyberGovernment Online

本メールマガジンでもたびたびお届けしているように、最近はIoT機器に関する脅威が増えています。今後IoT機器やサービスが急速に普及していくと推測されることや、国がデータ活用を推進しようとしていることもあり、IoTセキュリティへの対応は喫緊の課題です。今回は、IoT機器に関するセキュリティ脅威の手口と、現在総務省で検討されている施策を紹介します。

IoT機器の乗っ取りの手口

2016年に入ってから、インターネットに接続しているルーター、ウェブカメラ、ネットワークストレージ、デジタルビデオレコーダーなどのIoT機器を利用したサイバー攻撃活動が活発化しています。なかでも急増しているのが、IoT機器の乗っ取りを行うマルウェア「Mirai」です。

Miraiは、初期設定で使われることの多いユーザーID・パスワードの組み合わせ62組のリストを使用してセキュリティが脆弱なIoT機器にログインし、IoT機器を乗っ取ってボットネット(*1)に取り込みます。攻撃者はこれらの機器を踏み台にして短時間に膨大なデータを送り続けて対象のサーバーをダウンさせるなどの攻撃をします。

*1
ボットと呼ばれるウィルスに感染し、特定の第三者による遠隔操作が可能となったパソコン群のこと。

2017年3月に公表された警察庁のデータによると、センサーや宛先ポート「23/TCP」(*2)へのアクセスが前年と比べ激増しています。これは、Miraiに感染したIoT機器が、感染拡大のために行う拡散先の検索により、アクセスが増えたためだと分析されています。

*2
Telnetで利用されている通信プロトコル。

[イメージ]【センサーに対するアクセス件数の推移】 【宛先ポート「23/TCP」に対するアクセス件数の推移】
出典:【センサーに対するアクセス件数の推移】 【宛先ポート「23/TCP」に対するアクセス件数の推移】(警察庁)

知らないうちに踏み台にされないために

Miraiによる攻撃が激増している背景には、IoT機器のセキュリティについて利用者の意識が万全ではなく、IoT機器のログイン情報が初期設定のままだったり、ファームウェアのアップデートをし忘れたりと、買ったままの状態で使用されているものが多いということがあります。実際に起きたMiraiによる大規模な被害では、10万台以上におよぶIoT機器がこのウィルスに感染し、サイバー攻撃の踏み台にされました。つまり、10万台以上におよぶIoT機器が基本的なセキュリティ対策がなされていなかったということになります。

Miraiはソースコードが公開されたため、今後も他のマルウェア開発にも広く用いられる可能性があるとされています。知らないうちにサイバー攻撃の踏み台にされないために、利用するIoT機器で基本的なセキュリティ対策がなされているか、あらためて確認しておきましょう。日立グループのCSIRT(Computer Security Incident Response Team)が推奨する対策を以下に挙げます。

  • インターネットからIoT機器へのアクセスは、特定のIPアドレスからのみに制限する
  • 認証機能を有効にする、推測されにくいパスワードを設定する
  • 製品のアップデート情報を確認し、脆弱性がある場合にはファームウェアをアップデートする

総務省が推進するIoTセキュリティへの対応

このように新たな脅威の急増や、今後IoT機器やサービスが急速に普及していくことをふまえ、総務省はIoT/AI時代に対応したサイバーセキュリティの確立に向けた2017年の取り組みとして「IoTサイバーセキュリティ アクションプログラム2017」を公表しました。
このプログラムは以下五つの柱からなり、関係府省・自治体・各種団体・企業などと緊密に連携しながら推進していきます。

  1. サイバーセキュリティタスクフォースの開催
  2. IoT機器セキュリティ対策の実施
  3. セキュリティ人材育成のスピードアップ
  4. 総務大臣表彰制度の創設
  5. 国際連携の推進

今後の検討スケジュール

現在は、「サイバーセキュリティタスクフォース」にて、IoTセキュリティ対策の取組方針を決めようとしているところです。公開されている案によると、まずは喫緊の課題として、すでに流通している脆弱性を有するIoT機器のセキュリティ対策を実施するとしています。IoT機器を、国民生活・社会経済活動に直接影響を及ぼす可能性がある機器(重要インフラ)と、サイバー攻撃の踏み台となってネットワークに悪影響を与えるおそれがある機器(家庭用ルーター、監視カメラなど)に分類し、それぞれにおいて緊急に取り組むべき対策が盛り込まれる予定です。4月以降は、人材育成・普及啓発、情報共有、国際連携、研究開発など、中長期的な課題について検討します。緊急課題については随時対応し、6月に概算要求・制度整備にむけた整理を行う予定です。

参考

(2017年5月9日 公開)

  • * 記事の内容は配信時点での情報をもとに作成しているため、その後の動向により、記載内容に変更が乗じている可能性があります。

テーマ別まとめ

注目キーワードに関連した記事をまとめました。

何をお探しですか?

製品・ソリューションや、電子行政用語集などを検索することができます。

配信を希望される方へ

自治体ICTに関する旬な記事を月2回メールマガジンでお届けします。登録は無料です。

ご登録はこちらから