エルーカ
2010年当時、情報セキュリティ産業では、長期間パッチが当てられていない、その頃、大人気だったWindows XPコンピュータが、インターネットの存続を脅かしかねないという点で意見が一致していた。
「XPはインターネットに不向きだ」とよく話したものである。
そして、我々があきれた顔をしているうちに、家電業界は「スマート」テレビを盛んに宣伝し始めた。自動車メーカーは、ダッシュボードにSIMカードが付いた車をそっと出荷し始めた。インターネットが、コンピュータやモバイルデバイス以外のものであふれるようになりそうだということが、はっきりしてきた。
インターネットは「モノ」のための場所になるのだろう。
IoTはインターネットに不向きである…
「インターネットセンサス2012」というプロジェクトは、多くの情報セキュリティのプロフェッショナルを楽しませてくれた。実際のところ、このプロジェクトでは、ハッカーたちによって何百万もの脆弱なインターネット接続のテレビがScanboxに変えられてしまった。それほどは興味をそそりはしなかったものの、同じ年に起こった事件として、あるフィンランドのISPで、何千台ものデジタルTVセットトップボックスからなるボットネットがネットワークをスキャンし始めたというものがあった。その後、ISPは相当なクリーンアップ作業を行わなければならなくなった。
けれども、誰もがただ肩をすくめただけだった。誰かが傷ついたわけでもなかったし、インターネットはそのようなバカ騒ぎに対して耐性を備えているように思えた。
しかし、このことは、「モノ」がインターネットでの使用向きに造られたわけではないという最初の印象を裏付けるものとなった。「インターネットが教えてくれた教訓だったのだろう」と我々は思った。
それ以降、昔からのデバイスメーカーによる、信じられないくらい稚拙な試みをいくつも目にしてきた。自社製品を「リモートからアクセスできる」製品に変えるというというのである。ホッケーリンク、スウェーデンのキャビア工場、および小麦サイロの管理用インターフェイスが、認証されたものでないリモート管理ツールを介してインターネットに公開され、丸見えにされたことがあった。10年前であれば、これらのような経営判断は、想像がつかなかっただろう。そして、おそらくその時の経営判断は、現在と同様に慎重になされたものでなかったようだが、判断時において重大な過失があったことの証拠となった。
一方、電力会社は、地下室やボイラー室に「リモートで読み取れる」メーターを設置している。これらのメーターが「リモートで管理されている」と理解していたのは一握りの人だけのようである。
「リモートであるなしのどこに違いがあるのか」という声が聞こえてきそうである。リモートで読み取れるというのは「脆弱である」ということを意味する。リモートで管理されているというのは「もっと脆弱である」という意味だ。
世紀の変り目には、ファイアウォールに守られていないWindowsコンピュータの推定「平均余命」は、分単位で測定された。Sasser、Code Red、およびBugbearのようなインターネットワームが世界的に大発生したため、ISPはサービスを継続するのに四苦八苦した。1988年11月、悪名高いMorris Worm(世に放たれて明日でちょうど28年)が、実際にどのようにして現在のインターネットの前身となるネットワークを停止に至らせたかを覚えている人もいるだろう。
現在、「モノのインターネット(IoT)」として認識されているものを見ると、脆弱な、セキュアでないデバイスやソフトウェアを作成してしまった歴史から何も学んでいないと思わせられる。
サイバーセキュリティコミュニティから見ると、「Industrial Devices Internet of Things(産業機器のモノのインターネット)」という概念は、どのような種類のインターネット脅威からも自身を守ることができないものを表しているように思える。こうしたお粗末な状況を言い表すのに適切な頭字語を見つけ出そうと奮闘した結果がこれだ。
…あるいは、インターネットがIoTに不向きなのかもしれない。
先日、米国のジャーナリスト、Brian Krebs(ブライアン・クレブス)氏が、一時的に世界最大とされたサービス妨害攻撃(DOS)の標的にされた。クレブス氏のサービスプロバイダは、他の顧客へのサービス提供のために、一時的にクレブス氏のウェブサイトをダウンさせざるを得なかった。
注目すべきは、当のサービスプロバイダが、おそらく世界最強のクラウドプラットフォームを運営するアマゾンウェブサービス(AWS)であったことである。DDoSを行うことは簡単だが、AWSのような巨人をダウンさせることはそうでない。AWSがダウンしていたとしたら、間違いなくインターネット全体に影響が及んだことだろう。クレブス氏以外にとってはニアミスであったため、気に留める人はほとんどいなかった。
もうひとつ、注目すべきこととして、非自発的ながら攻撃トラフィックの発信元として攻撃に参加しているIoTデバイスが何十万台(あるいは何百万台)もあったということを指摘しておきたい。結局のところ、この背後にIoTがあると誰が思っただろうか。
先日、DDoS攻撃のトラフィックが大量に殺到し、Dynのサービスが一時的にダウンしたが、それとともにTwitterやNetflixのような非常に人気の高い表立ったのサービスもダウンした。付随的な被害は、何百万ものユーザに及んだ。
ここでも、セキュリティが不十分な膨大な数のIoTデバイスが攻撃に加わっていた。
たぶん、こうした兆しは、世界に何かを知らせようとしているのかもしれない。IoTはデバイスのセキュリティ不足で大変なことになるだろう、と考える人々のほうが、たぶん思い違いをしているようだ。私が思うところでは、セキュアでないモノのインターネットのツケを払わされるのは、インターネットのうちのIoT以外の部分(企業、人、サービス)なのだ。
そのため、IoTを修正できないのだとしたら、インターネットのIoT以外の部分を修正することを考える必要があるのかもしれない。
[画像提供、DAVID BURILLO(Flickr)]
カテゴリ