AI、IoT時代のサイバーセキュリティをどう確保すべきか。守りを固めるために知っておきたい攻撃の最新の状況はどのようなものか。2019年3月に開催された「セキュリティフォーラム2019」では、多方面の識者からサイバーセキュリティに対する脅威の現状と、対策の手法について講演があった。

セキュリティフォーラムは、セキュアIoTプラットフォーム協議会（SIOTP協議会）と日本スマートフォンセキュリティ協会（JSSEC）が共同で開催したもの。基調講演と、3本の特別講演、さらに主催する両団体から3つの成果発表があり、充実したフォーラムとなった。今回は、レポート前編として、基調講演と1本の特別講演、2つの成果発表について紹介する。AI、IoT時代には「攻撃する相手を知り、適切な守りを施す」ことが求められることが、浮かび上がってきた。

人の家に押し入るよりもネット犯罪のほうがずっと簡単

「この戦いは、これからもっと厳しくなる」。こう指摘するのは、東京オリンピック・パラリンピック競技大会組織委員会 CISO（チーフインフォメーション・セキュリティ・オフィサー）の坂 明氏。坂氏は、日本サイバー犯罪対策センター（JC3）の理事も務める。その知見から、「サイバー脅威の現状と対応」と題した基調講演を行った。冒頭の発言は、サイバー脅威との戦いは、厳しくなることはあっても、容易になることはないとの戒めを与えるものだ。

▼東京オリンピック・パラリンピック競技大会組織委員会 CISOの坂 明氏

サイバー脅威の現状を坂氏は、こう説明する。「強盗や殺人の件数を示す刑法犯認知件数は、2002年をピークに毎年最低数を更新している。一方で、サイバー犯罪の相談受理件数は、2003年に8万件程度に急増し、その後2013年までは横ばいだった。そして2014年以降は12万～13万件で推移し、犯罪が現実空間からサイバー空間に移行している。実際の人の家に入ってお金を盗るよりも、ネット上のほうがずっと簡単に大きな金額を動かせるのだから、当然の流れだ」。

そうした中で、ブラックマーケットにおける日本のクレジットカード情報の取引が2018年11月から12月に急増したとの情報があることにコメント。これは、当時展開されていた決済サービスアプリのキャンペーンを狙ったものとの分析を紹介した。利用者の状況やサービスの人気に即応しながら、サイバー犯罪が広がっているのだ。「サイバー空間の犯罪状態は、この状況がずっと続く。これをコモンカルチャーだと考えるべきだ」（坂氏）。

▼現実空間の犯罪が減る一方でサイバー犯罪は増加傾向にある

常態化するサイバー脅威の攻撃に対して、どのように対応したら良いか。坂氏は、「専守防衛だけではなくて、攻撃者を知った上で守ることが求められる。必要に応じた対抗手段を採らなければならない」と指摘する。攻撃者は、目的を持って執拗な攻撃を仕掛けるようになっている。攻撃者はターゲットを詳細に研究して攻撃してくる。要するに、単に守りを固めてあるだけでは、守りきれないのが現状のサイバー脅威なのだ。

そこで必要な視点が、「攻撃主体の分析とそれを踏まえた対応」（坂氏）である。攻撃者の目的は、経済的利益の確保か破壊工作の成功に大別できる。その上で、攻撃者が、国や政府なのか、独立したサイバー犯罪者なのか、協業企業による犯行や内部犯行なのか、見極める必要がある。「攻撃者の行動パターンや弱みをいかに把握して、対策を採るかがポイントになる」（坂氏）。

坂氏はさらに、攻撃はバラマキ型ではなく、ターゲットを絞ったものに変化しており、身代金を要求するマルウエアのランサムウエアも、標的型攻撃に近くなっているのが実態だと説明する。「オリンピック関係でもサイバー事案が多数ある。昔からあるスパイ活動も、いまは人間がスパイになって他国に潜入しなくても、サイバー空間で情報が盗れる。一般の方も含めて、防犯意識を持って力を合わせて対応していく必要がある」（坂氏）と、普遍化するサイバー脅威への対応に、国民の意識改革が求められることもアピールした。

IoTハッキングの「0day」「1day」を知って対策を

特別講演1「IoTハッキングを通したIoTへの歩み方」は、神戸デジタル・ラボ セキュリティ事業部の村島正浩氏による講演である。村島氏は「ハッカーの学校 ハッキング実験室」「同 IoTハッキングの教科書」を出版するほか、IoTセキュリティの知見を共有するコミュニティ「IoTSecJP」の中心メンバーも務める。神戸デジタル・ラボでの業務としても、様々な機器のセキュリティの検証などを行う、セキュリティとハッキングの専門家だ。

▼神戸デジタル・ラボ セキュリティ事業部の村島正浩氏

村島氏は、まずIoTにおける脆弱性を「プログラムの不具合や設計上のミスが原因となって発生した情報セキュリティ上の欠陥」と定義した。IoTデバイスで利用されているOSとしては、Linuxが7割を超えると指摘した上で、「電子署名がきちんとなされていなかったり、製品の仕様としてバックドアが設けられていたりすることが、脆弱性につながる」という。

IoTのセキュリティが重要課題になってきている要因として、村島氏は「IoTが収集するデータの価値」を挙げる。IoTデバイスから収集したセンシングデータを、企業や業界を超えて売買する「データ市場」をビジネスとする潮流が背景にある。「医療データは、闇市場ではクレジットカード情報の20倍の値段がつくといった報道が最近あった。ロボット掃除機が間取りデータを収集するような事例もある。また、スマートウオッチの健康データを殺人事件の証拠に使用する例も海外であった」と説明し、IoTデバイスから得られるデータの重要性が高まっていることを示した。

実際に、IoTデバイスをハッキングしてみた事例も紹介した。ハッキングに成功したという記事があるスマート電球の同製品を購入し、セキュリティ情報を解析したところ、スマート電球のAPI（アプリケーションプログラミングインタフェース）を経由してパソコンなどから自由に操作できることを突き止めた。このバックドアについては「IPA（情報処理推進機構）に情報を開示し、その後に脆弱性が修正されたことを確認した」と、成果を語る。さらに、OEMで同じ基盤や部品を用いているような同種の製品では、表向きのメーカーが異なっていても同じ脆弱性を持った製品が世の中に多く存在することもあり、注意を喚起する。

村島氏は、IoTデバイスの製品が世の中に出てから脆弱性が発見されるまでの「脆弱性のライフパス」についても説明した。IoTデバイスにも0Day、1Dayがあることを、攻撃や対策の指針として知る必要があるとの指摘だ。「製品がリリースされて、ハッカーが先に脆弱性の調査に成功し、アタックを仕掛けてきたら、それは0Dayの攻撃になる。ベンダーは、その後に脆弱性の開示、解析、パッチ公開と後追いで対応することになる。一方、パッチを公開してから24時間以内に攻撃をする1Day攻撃も注意しなければならない」（村島氏）。パッチが出ていることを把握したハッカーが、脆弱性（Exploit）を公開して広く攻撃を仕掛けられるようにするものだ。

▼IoTデバイスにおける脆弱性のライフパスについて説明

前述のスマート電球のように、脆弱性が内在しているIoTデバイスには他の脆弱性がある可能性もある。こうした攻撃者も含めたライフパスを意識した上で、ハッキングへの対策や脆弱性の検証を行い、IoTデバイスを安全に使えるようにしていくことが必要なことを講演で示した。

IoT導入のチェックシート、アプリのセキュア設計に指針

セキュリティフォーラムでは、主催する団体の最新の活動状況を報告する成果発表も行われた。レポート前編では、日本スマートフォンセキュリティ協会（JSSEC）の2つの成果発表の概要を紹介する。

最初の成果発表が「企業へIoTを導入する場合のセキュリティ検討事項」と題したもので、JSSEC利用部会部会長を務めるラックの後藤悦夫氏が発表した。これはJSSECが2019年2月に公開した「JSSEC IoTセキュリティチェックシート第二版」について、第一版からの改定の狙いや内容を紹介するものだ。

IoTセキュリティチェックシートは、企業がシステムやサービスを提供するためにIoTを利用する人を対象として、IoT導入時にセキュリティ面で考慮すべきことをまとめたチェックシートである。IoTセキュリティチェックシート第一版では、IoT推進コンソーシアムが作成した「IoTセキュリティガイドラインver.1.0」を企業のIoT利用者の視点で一覧化した。JSSECは、2018年3月に公開した第一版を約3000社に配布し、有用性を確認した。おそこで得られた要望として、「網羅性の向上」と「対策のヒントなどの解説の充実」があったという。

▼「JSSEC IoTセキュリティチェックシート第二版」の特徴を説明するJSSEC利用部会部会長の後藤悦夫氏

第二版では、一般企業がIoTを利用・導入する際にセキュリティ面で考慮すべきことを網羅的にまとめることを狙いとした。作成した第二版の特徴を、後藤氏は4つ掲げる。それが「国際的なセキュリティフレームワークの採用によって、利用者からの視点の網羅性を向上させた」「情報システム（IT）と設備システム（OT）の相互の担当者の共通言語にできるようにした」「IoTの用途に合わせて検討項目を選びやすくするために推奨項目を明記した」「解説編を追加して一般企業の担当者が理解しやすくなるようにした」──ことである。

チェックシートでは、IoTの用途に合わせて推奨項目に従って自社状況を書き込むことで、利用・導入するIoTのセキュリティの状況を網羅的にチェックできる。また、チェック項目には理由などのコメントを記載する欄を設け、担当者の異動などがあっても状況が継続して把握できるようにした。後藤氏は「JSSECはセキュリティチェックシート第二版を活用して、IoT導入企業へのセキュリティ面での普及・啓発を2019年度も継続していく」と締めくくった。

2つ目の成果発表が、Androidアプリのセキュア設計に関する「セキュアコーディングガイド最新版の紹介」である。JSSECセキュアコーディングワーキンググループリーダーを務めるソニーデジタルネットワークアプリケーションズの小木曽純氏が説明した。セキュアコーディングガイドは、「2012年から継続的に改定している黄色い表紙の文書で、Androidの安全なアプリを作る際に参考にしてもらえる。Androidは現在Android 9.0が最新バージョンで、それにキャッチアップしたものが最新版のセキュアコーディングガイド第10版だ」と小木曽氏は説明する。

▼「Autofill framework対策」について説明するJSSECセキュアコーディングワーキンググループの小木曽純氏

第10版の変更点は、Android 9.0の機能変更や追加に追随したこと。その1つが、「Autofill framework対策」。オートフィルとは、登録画面などの入力内容を自動的に覚えて、次回の入力時に自動入力してくれる便利機能だ。しかし、悪意あるオートフィルサービスにパスワードやクレジットカード情報などを記録してしまうリスクがあった。Android 9.0ではオートフィルサービスを利用する際に、正規のサービスであるかどうかを証明書によって確認できるようになり、セキュアコーディングガイドでもこれに対応したアプリの作り方を紹介している。このほか、サーバー証明書の検証、非暗号化通信の抑制、指紋認証機能への対応などがガイド変更点の主なものとして挙げられる。

JSSECでは、こうした取り組みを通じて、企業のIoTの導入から具体的なスマートフォンアプリの作成まで、セキュリティを担保するための取り組みを支援している。冒頭の坂氏の基調講演にもあったように、サイバー脅威は増えることはあっても、減ることはない。セキュリティフォーラム前半は、守りへの意識を産業界から一般社会まで広く啓発していくことの必要性を訴える内容となった。

後編「アイロンがスパムメールを撒き散らす！！便利になるほどリスクは増す世界」に続く

※登壇者の所属・肩書などは、セキュリティフォーラム2019開催時点のものです