「スマホと連携できる自動販売機をハッキングして、会員番号の表示窓に『77777』と表示させた」

IoT化が進む社会ではこんなことが簡単に実行できるという実例を示し、IoTセキュリティの重要さを説くセミナーが2018年9月に開催された。セキュアIoTプラットフォーム協議会（SIOTP協議会）が会員に向けて実施したスキルアップセミナーで、今回が第1回となる。第1回の講師は「黒林檎」こと村島正浩さん。「ハッキング実験室」と「IoTハッキングの教科書」の著者でIoTセキュリティに関する啓発や診断技術に関する意見を交換するコミュニティ「IoTSecJP」の中心メンバーの1人でもある。

▼スキルアップセミナー第1回の講師は「黒林檎」こと村島正浩さん。IoT機器の危険性を実例を示しながら解説した

IoTSecJPは、セキュリティエンジニアなどが中心のコミュニティで、IoT機器のハッキングの実態を調査し、想定される攻撃を検証し、リクスを評価していく活動をしている。数百名がアクティブに活動しているコミュニティである。そうした中で、セキュアIoTプラットフォーム協議会の賛助会員としても活動を行うことになった。黒林檎さんは、「小さなIoT機器をハッキングするだけならばIoTSecJP単体でも活動できる。しかし、一般家庭や産業まで含めてさまざまな機器をつないだ社会について、IoTSecJPはコミュニティという立場であり責任を持った発言ができない。セキュアIoTプラットフォーム協議会と連携することで、社会的に責任を持った活動に寄与していきたい」と語る。

簡単にハッキングできるIoT機器の実例を具体的に紹介

セミナーでは、IoTの危険性について、実例を交えながら紹介があった。例えば、Google HomeやAmazon Alexaなどのスマートスピーカーと連動するなどして、家電機器のオン・オフを制御する「スマートプラグ」。低価格な製品の中には、リモートから設定ファイルを手軽に触れるような製品も多いという。「たかだか電源のオン・オフをするだけに機器だといっても、悪意ある第三者がオン・オフを繰り返すといった攻撃をすれば、火災につながるリスクがある」（黒林檎さん）。ルーターのようなネットワーク機器でも、DNS（ドメインネームシステム）サーバーのアドレスを外部から書き換え可能なセキュリティホールがあったケースがあり、通信をフィッシング詐欺のサイトに転送するなどの攻撃が可能だった。さらに、「ブリックボット」というマルウエアも少なからず見つかっており、日本では文鎮と呼ぶことが多いがIoT機器を使用不能にしてレンガ（ブリック）のような状態にすることもできる。

実際に過去に黒林檎さんは、Bluetoothでスマートフォンと通信してポイントなどを蓄積できるサービスを提供する自動販売機に対して、ハッキングを仕掛けたことがあるという。その自動販売機は、強固なセキュリティ対策を施してあり実害が出るようなハッキングはできなかったが、工夫することで一時的に表示窓に「77777」といった任意の表示をさせることに成功した。冒頭の事例がこのケースに当たる。Bluetoothなどの無線通信は、パケットを傍受できる機器が数千円程度で購入でき、暗号化されていない平文で通信が行われていれば、解析ツールを使うことで通信内容を確認できてしまうという。

「IoT機器のセキュリティでリスクが高いのは、IoT機器そのものをハッキングすることよりも、その脆弱性を使って接続しているネットワーク内のサーバーなどに攻撃をするピポッティングを仕掛けられること。水槽内のIoT温度計がピポッティングされて、サーバーがハッキングされるといった事件が起こっているほどだ」（黒林檎さん）。

さらに、IoT機器のセキュリティで問題となるのは、脆弱性への対応が後手に回るケースが多いことだと指摘する。Bluetoothで通信できるコーヒーメーカーや、電子錠などで、外部からの悪意あるコマンドを受け付けてしまうケースがある。攻撃を防ぐには、Bluetoothによるペアリングを適切に実施するモードを実装する必要があるが、IoT機器の開発は要件が多岐にわたり、既存製品への対応が難しい。「ここで問題なのが、脆弱性を『仕様』としてしまうこと。当初のロットの製品は脆弱性がある『バージョン1』を仕様と考え、対策を施さない。次のロットからは脆弱性を改修した『バージョン2』を提供するというものだ。脆弱性が改修されない製品が使われ続けることになり、リスクが残る」（黒林檎さん）。

▼黒林檎さんの講演を熱心に聞き入るスキルアップセミナーの参加者

この他にも、「製品の利用規約」をチェックすることを黒林檎さんは推奨する。「安価なIoT機器をネット通販から購入するような場合、英文であっても利用規約を翻訳ツールなどで確認したい。『セキュリティは保障または保証しない』といった文言がある場合が少なくなく、製品提供側に瑕疵を問えない」。

セミナーではWi-Fi機器をその場でハッキングするといったデモも行い、IoT機器が包含するリスクを実体験することもできた。参加したセキュアIoTプラットフォーム協議会の会員からは、具体的なIoT機器への脆弱性の対応などについて、活発な質疑が行われた。セキュアIoTプラットフォーム協議会では、IoTのセキュリティに関するこのようなスキルアップセミナーを定期的に開催していく考えで、第2回は10月30日の開催を予定している。

参加申し込みはこちらから「第2回スキルアップセミナー」