無縫地帯

ネットに繋がったIoT機器乗っ取りが多発し、ようやく日本政府も各省庁が対策に本腰を入れ始める

改めて日本のインターネットはセキュリティ面での脆弱性が改善されていない状況で、国内のIoT機器がネットを通じてマルウェア感染する事例が後を絶たないため、各省庁も対応に追われ始めています。

日本でも、IoT(モノのインターネット)を巡っては明るい前向きな話題が豊富ですが、同時に暗い話題もそれなりにあったりするのでやはり注意が必要です。とくにこのところ一部のIT情報系ニュースなどで報じられている以下の話は今後しばらく要注意案件かもしれません。

IoTボットネット攻撃の台風が接近中 - Check Pointが警告(マイナビニュース 17/10/23)

すでに100万を超える組織が感染していると推測されており、大規模攻撃に行われる可能性があるマイナビニュース
IoT機器への感染などという話は日本ではまだまだ関係ないと油断している人もいるかもしれませんが、残念ながら日本も大いに関係していることが報告されています。とりわけ、ユーザーがそれほど意識せずネットワーク機器がインターネットにぶら下がってステータス情報をやり取りしているような場合、セキュリティの更新がなされずに防御ががら空きになって乗っ取られる事案が増えることは間違い無さそうです。

新たなIoTボットネット出現、「Mirai」級のDDoS攻撃発生の懸念も(ZDNet Japan 17/10/23)

Check Pointは、一例として、兵庫県芦屋市に設置されているとみられるGoAheadのカメラがマルウェアに感染している様子を報告。(中略)この製品が海外の別のネットワークカメラに対してマルウェア感染攻撃を仕掛けているという。ZDNet Japan
いまのところこの攻撃が誰によってどういった目的で行われているのかは皆目見当がつかない状況ですが、こうしたIoTデバイスのマルウェア感染に起因した大規模DDoS攻撃がある日突然起きる可能性はあるぐらいの心構えは必要でしょう。

特に、安価で普及した警備用のネットワークカメラやセンサー類は、ネットに接続されたままになっていることも多く、古い仕様のものはそれなりの割合がマルウェア感染してしまう危険性があるのではないかと指摘されているのも事実です。

つい最近もスウェーデンで公共インフラのITシステムを狙ったと考えられるDDoS攻撃が発生したというニュースがありました。

スウェーデンの交通機関がDDoS攻撃を受け運航不能に陥る(THE ZERO/ONE 17/10/25)

サイバー攻撃によって社会システムが破綻するという事態はもはやSFの中だけの出来事ではなく現実に起こり得るものになってしまいました。単にDDoSで運行不能になる交通機関が出るだけならどうにでもなるのでしょうが、これが発電所(送電施設)やガス、水道などのライフラインが危機に晒されたとき取り返しのつかない事故や被害者を生んでしまう危険性はあります。

米国ではこうした問題に対してかなり危機感を抱いており各方面へ対策を促しているとのこと。

政府機関や公益企業を狙う執拗なサイバー攻撃、米政府機関が対策を解説(ITmedia 17/10/24)

政府機関やエネルギー、原子力、水道、航空、製造の各業界で少なくとも2017年5月以来、ネットワークに不正侵入される被害が発生していることを確認した。ITmedia
我が国でもようやく政府とIT事業者が連携して具体的な対策を講じる流れになりつつあるようです。

サイバー攻撃を一斉遮断国・業者、機器乗っ取り対策インフラ守る (日本経済新聞 17/10/25)

総務省とNTTコミュニケーションズなど国内のインターネット接続業者は2018年度をめどに、サイバー攻撃を一斉に遮断する仕組みを作る。
(中略)
総務省は通信の秘密に抵触する事例などを示すガイドラインを年明けにもまとめる。必要があれば電気通信事業法などの法改正も検討する。
(中略)
警察庁の16年の調査によると、ネットに接続した機器への攻撃とみられるアクセス数は1つの端末あたり1日平均で1692件。前年の2倍以上に増加している。日本経済新聞
かねてから「日本の官民セキュリティの取組みは周回遅れ」というような批判は国内でも海外でもされてきたわけですが、電気通信事業法の改正も含めてようやくこの辺が前進するというのは喜んでよいのか、後手に回りすぎたと悔やんだほうがいいのか。

加えて、ある意味でこれまで野放し状態だったIoT機器のセキュリティについても総務相自らが明確に言及しており今後の取り組みが注目されるところです。

サイバー攻撃対策、年内に方向性(SankeiBiz 17/10/27)

野田聖子総務相は「IoTの便利さを優先してセキュリティー対策が後手になったのが、この検討会のゆえんだ」と指摘した。総務省は年内にセキュリティー対策に必要な課題などを整理した上で方向性を示す考え。SankeiBiz
このようにして並べてみると、ようやく国も問題に気づいて抜本的な対策に向けて重い腰を上げたと評価できる一方、日本のインターネットのセキュリティが脆弱で劣悪であり続けた反省のないままに各省庁がセキュリティ対策のためという予算取りのために施策を乱発しているだけであればそれは本末転倒です。やはり何らか統一的な日本の「国家指針」に準じた組織が省庁横断的に統括し、目標を定めて一丸となって取り組むという方向のほうが望ましいのではないか、と強く感じる次第であります。