アダム
先週、ヘルシンキで開催されたDisobeyのイベントに、エフセキュアのシニアセキュリティコンサルタントのハリー・シントネンが登壇し、サイバー攻撃者はセキュアでないデバイスをどのように悪用するかについて講演を行った。ハリーは、QNAP社製のネットワーク接続型ストレージ(NAS)デバイスにおけるいくつかの脆弱性を発見した後に、実証のためのデモを作成した。また、それらの脆弱性がデバイスの「ハッキング」のために悪用され得ることを検証するため、このデバイスを乗っ取るための、PoC(Proof-of-Concept:概念実証)用のエクスプロイト(脆弱性を悪用してシステムをハッキングするコード)を作成している。
技術的な詳細についての説明は、本記事末尾のハリーによるプレゼンテーションに譲るが、ハリーが作成したPoCは、要はファームウェア更新の際にデバイスに細工を加えるものであった。更新の要求が暗号化されていないなど、デバイスの更新プロセスに問題があったため、ハリーにとっては簡単な標的であった。
ハリーのPoCでは、実際にデバイスを乗っ取ることができた。彼はそれ以上のことは行わなかったが、本物の攻撃者ならそれでは終わらない。デバイスを乗っ取ったら、保存されているデータにアクセスし、パスワードを盗み、さらには、デバイスにマルウェアをダウンロードさせるなどコマンドを実行することも可能だろう。
深刻に感じられただろうか。ただ、良い知らせがある。実際にデバイスに細工を行うためには、攻撃者は更新プロセスをインターセプトする仕掛けを用意する必要があるのだ。
「このひと手間が必要になるせいで、日和見的攻撃者や、スキルの低い攻撃者のほとんどは、手を出すのを諦める」と、エフセキュアのサイバーセキュリティエキスパートのヤンネ・カウハネンは述べている。
その一方で、悪い知らせもある。こうした問題はインターネット接続デバイスに蔓延していることだ。今回のケースでは、ハリーは2016年2月の時点でそうした問題を複数、QNAP社に報告している。しかしハリーの知る限り、QNAP社はまだ修正プログラムをひとつもリリースしていない(もっとも、QNAP社では1件について作業中だとしているが)。
IoTをセキュアにしたいなら、脆弱性調査が不可欠
ハリーが製品のセキュリティ上の問題を発見したのは今回が初めてではない。昨年の夏には、Inteno社製家庭用ルータの脆弱性を指摘している。ちなみにその脆弱性はまだ修正されるに至っていない。
「一般に販売されているデバイスがどれほどセキュアでないか考えると呆れてしまう。」と、当時ヤンネは述べている。「エフセキュアをはじめセキュリティ企業は、そうしたデバイスに脆弱性を幾度となく発見している。ルータやIoTデバイスで用いられるファームウェアについては、メーカーもその顧客もほったらかしにしがちである。つまり、ファームウェアに注意を向けているのは、脆弱性を悪用してインターネットトラフィックを乗っ取り、情報を盗み、マルウェアを拡散させようとしているハッカーたちくらいなのだ。」
メーカーや開発者は、そのような調査を自分で行うためのリソースを持ち合わせていないことが多いため、セキュリティリサーチャーがそれを行うことになる。また、サイバーセキュリティを担当する有能な人材が世界的に不足していることからすれば、これは驚くに当たらないのかもしれない。
そうした状況を背景として、セキュリティ企業に限らず、企業は脆弱性調査に資金を投じるようになっている。企業によるそうした取り組みの1つに、「脆弱性報奨金(bug bounty)」制度がある。これは自社製品の脆弱性の発見者に報奨金を支払うというもので、MicrosoftやFacebookなど、多くの有名なIT企業が実施している(エフセキュアでも実施)。実際、昨年の夏には、Instagramの脆弱性を発見した10歳の少年が10,000ドルの報奨金を手にしている。
しかし残念ながら、脆弱性は、ユーザがたまたま出くわして初めてその存在が明らかになるのがほとんどである。さらには、攻撃者が脆弱性を悪用してデバイスをハッキングしているところが見つかって初めて明らかになるケースさえある。
IoTデバイスは広く普及しつつある。そして、それに伴ってセキュリティの問題も拡がっていく。勘違いしてはならない。次の「Mirai」(マルウェア)の大流行や、もっとひどい事態の発生が防げるとしたら、それは、攻撃を受ける前に時間をかけてセキュリティ上の問題を見つけて指摘してくれる誰かがいてくれるおかげなのだ。
[画像提供、Tumitu Design(Flickr)]
カテゴリ