http://www.asyura2.com/17/warb20/msg/148.html
Tweet |
【第6回】 2017年4月14日 ユージン・カスペルスキー :Kaspersky Lab 取締役会長兼最高経営責任者(CEO)
広がる戦場
――IoTへのサイバー攻撃
数十億台のマシンがサイバー攻撃の標的に
サイバーセキュリティの最前線では、攻撃する側と防御する側で絶えず攻防が繰り広げられている。攻撃側はITの脆弱性をチャンスと見て、手っ取り早く金儲けをしようとする犯罪者やスパイ、政治的ハッカー、戦闘員、さらにはテロリストに豹変し、防御側は個人や組織をサイバー攻撃から守ろうとする。ここには、セキュリティ研究者やセキュリティ企業、司法当局などが含まれる。
ハッキングツールはめまぐるしく変化し、マルウェアはますます巧妙化しているが、 幸い、保護技術も進化を遂げている。しかし、デジタルテクノロジーは、サイバー攻撃の脅威が登場する前に設計された概念やシステムを基に構築されており、今日広く使用されているオペレーティングシステムはいずれも攻撃を受けやすいのが現状だ。
この攻防には、闘いの舞台が移り変わってきたという別の側面もあるだろう。10〜20年前の戦場はコンピューターが主流だったが、その後、すっかり生活の一部に溶け込んできたスマートフォンやタブレットがこの舞台に加わった。現在では、IoT(モノのインターネット)のセキュリティがセキュリティ業界にとって最大の課題のひとつとなった。
IoTとは、形状や大きさを問わず、コンピューター化されインターネットにつながった多種多様なデバイスを指すが、こうしたデバイスが数十億台も存在し、それが物理的プロセスを制御している事実(電子制御システムによる自動車など)を考えると、我々が日常生活の中で直面するサイバー攻撃のリスクは拡大していると言えるだろう。
IoTを狙った攻撃の多くはすでに現実のものになっており、私はスマートテレビに対する攻撃の急増を予測していたが、これまでのところ、ハッカーは多くの防犯カメラとホームルーターを攻撃しマルウェアに感染させることで、史上最大規模のDDoS攻撃を実行してきた。
“未来”は明るいとは言えないが…
こうしたデバイスを狙う悪名高いマルウェアのひとつに、「Mirai」(日本語の「未来」に由来)がある。このマルウェアはソースコードが公開されているため、今や特定のスキルを持つ者なら誰でも自作し、脆弱なデバイスを攻撃することができてしまう。その結果起こったDDoS攻撃により、TwitterやSpotify、PayPalを含む世界最大規模のグローバルインターネットサービスが一時的にダウンしたことは記憶に新しい。未来はすぐそこまで来ているが、見通しは決して明るいとは言えない。
例えば、ある企業がシステムとセンサーをネットワークで結んで、プロセスの合理化と高速化を図っているとしよう。工場でスマート電球が切れたら、センサーが直ちに自動化された倉庫に知らせ、替えの電球が出荷される。また、全メーカーの電球の電力効率に関する統計データをもとに、長期的に電気代を節約することもできるだろう。こうした大規模なシステムを効率よく円滑に稼働させることは技術面でやりがいがあるが、障害が発生した場合の復旧費用は莫大となる。
ここ数十年の間に、コンピューターを取り巻く脅威は不穏にも大きく進化した。初期のコンピューターマルウェアは一人のプログラマーが自己満足のために作成していたものだったが、今では裏のサイバーコミュニティが発展し、巧妙な手口で金融機関を襲うプロ集団、ある国の政府が裏で支援するデジタルスパイや傭兵の高度な集団など、犯罪者から成るエコシステムが暗躍している。
一方で、ITセキュリティに従事する専門家は、残念ながら世界的に不足している(と言われて久しい)。最先端技術を広く採用する日本をはじめとして、多くの国々ではこの分野の専門プログラムに投資を行っているが、IoTのセキュリティに特化した専門家となると、人材不足はさらに深刻だ。
市場がどんどん拡大し、めまぐるしく変化していく一方で、ハイテク製品(現代ではコンピューター化されインターネットに繋がった製品を指すことが多い)の製造メーカーは、デジタル時代のセキュリティ対策にどのような人材が必要なのかを理解することが急務だ。
幸い、サイバー犯罪者(やテロリスト)にとっても、IoTデバイスに特化した経験豊富なハッカーを見つけることは容易ではない。しかし、サイバー犯罪者は敏捷性に優れた比較的少人数の集団で活動しており、学習のペースも速い。 弊社では、IoTデバイスを狙ったマルウェアの急増を確認しているが、 これはまだ序章にすぎない。
IoT機器メーカーの姿勢にも変化がみられる
つい最近まで、インターネット対応型デバイスの製造メーカーの多くは、自社製品のセキュリティにそれほど注意を払っていないように見えたが、今やそれも変わりつつある。 防犯カメラなどのインターネット接続型家電製品を製造する有名なあるメーカー数社に話を聞いたところ、セキュリティが万全でなければ、えり好みする富裕層は製品を購入しないため、自社製品のセキュリティを万全にしているという。 これは大変喜ばしいことだ。
またメーカー側は、すでに製品化されたデバイスにセキュリティ機能を追加することは簡単な作業ではないことを理解している。サイバー攻撃の脅威に対する認識が急速に高まっているとはいえ、他社より先に技術革新を行い、製品化し、競争したいという気持ちが強いがために、セキュリティ機能の改良に時間とコストをかけようとしないメーカーが存在することも事実だ。
新しいデバイスの製造メーカーや設計者に伝えたいアドバイスは、いたってシンプルだ。それは、自社製品に少なくともある程度の保護機能を装備すること。既存の脆弱性を修正する手段を確保し、パッチ管理手順を策定すること。デバイスに設定されている工場出荷時のパスワードをユーザーが予め知っていることのないようにすること。たとえ何世紀にもわたって製品を製造してきたメーカーでも、今やソフトウェア企業としての顔をもつことを忘れてはならないのだ。
さらに、インターネット接続型デバイスを利用する個人ユーザーには、利用に伴うリスクについて学ぶことをお薦めしたい。また、万全なセキュリティというものは存在しないことを覚えておいて欲しい。現代社会は、さまざまなスマートデバイスなしで生きていけないが、使用するデバイスを賢く選ぶことはもちろんだが、ルーターを使用する場合は、管理者パスワードは必ず初期設定から変更するという基本的なこともお忘れなく。
http://diamond.jp/articles/-/124632
投稿コメント全ログ コメント即時配信 スレ建て依頼 削除コメント確認方法
スパムメールの中から見つけ出すためにメールのタイトルには必ず「阿修羅さんへ」と記述してください。
すべてのページの引用、転載、リンクを許可します。確認メールは不要です。引用元リンクを表示してください。