［開催レポート］経済産業省×GMOサイバーセキュリティbyイエラエ「開発段階におけるIoT機器の脆弱性検証促進事業」について -Vol.01 / 開発者向けブログ・イベント

9/21（水）にGMO Developers Night#36 「経済産業省×GMOサイバーセキュリティbyイエラエ「開発段階におけるIoT機器の脆弱性検証促進事業」について」をオンラインにて開催。IoTにおけるセキュリティ対策の必要性や有無、また、経済産業省が行う取り組みについて、お話いたしました。

イベント告知：https://developers.gmo.jp/20150/

今回Vol.01では、【セッション①】IoTにおけるセキュリティ対策の必要性についての書き起こしをお届けします。

【セッション①】IoTにおけるセキュリティ対策の必要性について

登壇者
GMOサイバーセキュリティ byイエラエ株式会社高度解析課課長
三村聡志

GMOサイバーセキュリティ byイエラエ高度解析部高度解析課課長をしております三村と申します。

私からはまず、「IoTにおけるセキュリティ対策の必要性について」ということで、実際にIoT機器の診断など、どういうものを実際やっているのか、またIoT機器でどのような脆弱性、どのような攻撃があるのだろうか、こういった点を説明します。

GMOサイバーセキュリティ byイエラエとは

最初に、我々「GMOサイバーセキュリティ byイエラエ」は、「誰もが犠牲にならない社会を創る」ということをテーマに、かなり多くのハッカー、もちろん攻撃をする人たちではなく、攻撃をする人たちと同じような思考や技術を持った人たちを多数揃えまして、攻撃者よりも早く、攻撃者と同じような、もしくはそれよりも高度な技術で、何か脆弱性はないだろうか、悪用されることはないだろうかということを診断という形で提供させていただいている集団です。

また、「最強攻撃　最高品質　最低価格」を掲げております。どんな高度な診断をするといっても、皆様のところには届かないような高い値段で出しますと、別の意味で世の中を良くするというところから反しますので、技術をちゃんと提供させていただきながら皆様へはご利用いただきやすい値段で提供しております。

弊社の簡単な数字の説明になりますが、トップクラスのホワイトハッカー数、120名が在籍しております。また、6000件超とありますが、Webや最近では企業に対してペネトレーションテスト、攻撃者のふりをして侵入し、脆弱性の問題がないかを調べる形の診断から、今回のテーマであるIoT機器や組み込み機器に対する診断まで、幅広く対応しております。ご覧になっている方の中では、「イエラエセキュリティ」という名前であれば知っているという方もいらっしゃるかもしれません。今年2022年、GMOインターネットグループにジョインいたしまして、社名を「GMOサイバーセキュリティ byイエラエ」に変更しております。よく、グループにジョインして何か変わったのですか？と聞かれることがありますが、技術力等々は前からも変わらず、また前以上に腕を磨いておりますので、安心してご依頼いただければと思っております。

IoT普及に伴いセキュリティリスクも増加

では、本題であるIoTは今のところどうなんだというところをお話しいたします。

IoTといっても、様々なものを想像されると思います。例えば、私はプレゼンテーションを進めるためのコントローラーを持っていますが、これがもしインターネットに繋がっていて、YouTubeなどいろいろなメディアで見ている皆さんの側から、このコントローラーにもし侵入できたら、どんなことがあるでしょうか？これを考えてみると、例えば、私が今これからお話しするスライドを、私が話し切る前に前に進めたり後ろに進めたりといったことができるようになってしまいます。そういうことをされると私が困るわけですが、こういうことをしないように・されないように、安全に我々のところで一度チェックをさせていただいて、穴がないだろうか、あれば一緒に直していきましょうという活動になります。

資料では、「IoT普及に伴いセキュリティリスクも増加」と書かさせていただいております。

まず、デバイスのインターネット接続が当たり前になっています。

例えば私も自宅でインターネットに繋がる調理釜を購入しましたが、数年前だと調理釜がインターネットに繋がるなんてことはなかったはずです。最近だと、こういうものがインターネットに繋がることによって、外からメニューや料理の作り方を入手してより高機能、より様々な料理ができるような機能を持ったものが出てきています。こういうものは、サイバー空間とフィジカル空間の融合、そしてそれに伴うセキュリティ上のリスクが当然出てまいります。先ほど例に挙げたプレゼンテーションを進めるための装置でもそうですし、先ほどの電気釜一つとったとしても、意図しない料理を作られたらやはり困ります。

このような世の中に対して、まず喫緊で議論が行われている代表例として2つ、自動車とドローンを挙げて説明します。

最初の例が自動車です。今、各社自動走行を目指していろいろと進められていますが、自動車は高度化がどんどん進んでおります。アクセルを踏んだだけでも、それをそのままエンジンに伝えるわけではなく、ちゃんと燃料などを考えて一番エコな状態でエンジンを動かす、そのためには裏側でちゃんとチェックをして一番良い燃料の出し方を計算するチップ、計算機というものが載っています。

同じような形でカーナビゲーションでも、自動車を運転しているとカーナビに渋滞情報がリアルタイムで出てきますが、これは中に計算するチップが載っていて、それが外と通信をしているというところからできるようになってきています。自動車ですと早いタイミングでこういうふうに高度化・電子化が進んでいて、今は自動走行ということでやっていますが、こちらに際してはこういう対策をしなければいけないとか、こういうことを確認しましょうとかを要件仕様書の形で比較的早いタイミングで作られています。

日本ですとJASPARさんとかが出していますが、こちらの基準に従っていなくても、ベースラインのところは誰が作っても作った時にまずここのレベルで安全なところは守りましょう、できるようにしましょうとか、いろいろな会社さんと手を組みながら一緒になって進めている現状があります。

一方でドローンは、最近ですと様々なところで利用されているのをニュース等でもお感じと思いますが、グラフにもあるようにドローンの利活用はどんどん進んでいます。一昔前だと、おもちゃみたいなものでブーンと飛ばすというものがあったわけですが、最近では無人で飛ばしてみようとか、自動でルートを設定して飛ばしましょう、こういう話がどんどん進んでいます。こちらに対してやはり問題になってくるのは事故・攻撃等で、様々な国でドローンを用いた攻撃が残念ながら発生してしまっています。こちらに対して、現在日本で進んでいる無人機の有人地帯での目視外飛行、俗にいう「レベル4」に向けて安全性を高めていくために様々な議論が当然ありますが、その中の一つとして当然セキュリティも議論するということが必要となってくるだろうという話になります。

IoTに対するサイバー攻撃リスク

IoTの診断や、脆弱性に関して我々がやっているところのお話に入らせていただきます。

まず、IoTに対するサイバー攻撃リスクとして考えられるものとしては、データ漏えいと不正操作の2つが代表的です。

データ漏えいは、例えば設置しているカメラから、本来であればアクセスできない人がアクセスできてしまって、機密情報や、本来はアクセスできてはいけないものが見られてしまう、撮られてしまうというもの。不正操作は、先ほど私が冒頭で申し上げたコントローラーやプレゼンテーションの装置がのっとられてスライドがどんどん動かされてしまうとか、ドローンだと本来想定していないような道を走ってしまう、もしくはその状態で本来であれば行ってはいけない場所にどんどん飛ばしてしまうということができてしまう、ということが考えられます。

データ漏えいや不正操作はやはりされて欲しくはないし、今我々としてもこういうものが起きない、安全な状態でITの利活用というものをどんどん進めるということのお手伝いをしていきたいというものになります。

IoTにおける守るべき対象

一般的には、1つ目はIoTのデバイスや装置。

それと通信、例えばこのコントローラーがインターネットに繋がるのであれば、特にケーブル等は入っていないので、やはり無線など通信の経路、これが2つ目です。

3つ目はクラウド。一般的にIoTだとクラウド環境にデータを置いたり、クラウド環境で何か指示を行ったりというものがやはり一般的な設計になっているものが多く、クラウドも当然重要になってきます。

では、一つ一つ見ていきます。

IoTデバイスに対するサイバー攻撃リスク

まず、IoTデバイス、装置そのものに関してのサイバー攻撃リスクですが、1つ目は重要情報の漏えい、2つ目が不正なユーザによる操作、3つ目がデバイスの制御のっとり。これら3つが一番大きなリスクとして考えなければならないものになります。

IoT通信に対するサイバー攻撃リスク

通信のところに関しては、重要情報の漏えいが起きないかどうかという点をチェックする必要があります。

通信のところは一番多くお客様から聞かれるところですが、通信は何を見るのですか？と。例えば、装置どうしが繋がるWi-FiやBluetoothについて、暗号化が正しく行われていないとか、またそこの電波の情報を盗み見る、盗聴することによって、データが抜かれてしまう、重要情報が盗めてしまう、またその逆でそれらへ不正な命令、不正な電波を飛ばすことによって操作がのっとれるということになると、やはり問題になるわけです。通信は重要情報の漏えいということで、暗号とか、ちゃんと正しいところに通信しているかという点のチェックは大事になります。

クラウドに対するサイバー攻撃リスク

最後はクラウドに対するサイバー攻撃リスクです。

こちらに関しては①重要情報の漏えい、②不正なユーザによる操作、③クラウドの制御のっとり、④デバイスの制御のっとりと、この4つが重要なリスクとなってきます。

①と②に関してはイメージがつきやすいと思います。③のクラウドの制御のっとりについては、クラウド環境は様々各社様から出ていますが、クラウドのシステムを見てみると、ブラウザからいろいろと設定画面を開いたり、もしくはコマンドで設定をしたりして、クラウドのサーバーの環境を自分たちが一番使いやすい形に設定をするわけです。その設定に不備があった場合、つまり本来であれば防がれているはずの通信の内容、分かりやすい例だとポート番号であったり、よく気付かれにくいところですとアクセス用のインタフェースのところ、そこが本来意図した人以外からのアクセスを遮断する形になっていない、攻撃者から簡単にそこの経由からだとアクセスできてしまうという話になりますと、クラウドがのっとられて、そこからデバイスであったり、また重要情報の抜き取りだったりということが発生してしまう、というものがクラウドに対するリスクになります。

サイバー攻撃事例：クラウド経由でのデバイスのっとり

これらのリスクが組み合わさった時にどういう問題が起きるかというところで、これは弊社で以前診断をさせていただいて、お客様からも今回のような場面で使って大丈夫ですよとなったものですが、IoTデバイスとしてドローンの例です。ドローンがクラウドから命令をもらって、クラウドと通信をしてドローンが動いている状況で、我々がクラウド側から入ってドローン側に侵入をして、ドローン側に対して不正な命令を送ると、実際にその時にはドローンを落下させるといったことが実現できているということが、我々のところで確認できています。

IoTのサイバーセキュリティ全体像

IoTのサイバーセキュリティの全体像としては、脆弱性診断というところ。これは脅威分析、アーキテクチャレビュー、セキュアコーディングの次のところにありますが、ここで一般的には作成された製品を診断してくださいと持ち込まれるものが多々あります。しかし当然ながら、例えば何かルールを作る、先ほどの自動車の例では安全な車を作るためのルールを作るという形になれば、よりもっと先のタイミングで安全になるでしょうし、コードの書き方や設計を全部しっかりやっていくことができれば、どんどん前のタイミングでできるのならばその後ろのところで大きな問題が見つかるということもないですし、ちゃんと開発コストをしっかり抑えた状態で安全なものを作るということが実現可能になってくるというものになります。

IoTに対する脆弱性診断

IoTに対する脆弱性診断ということで、先ほどから何度もお話ししたことを今度は我々の視点からご説明しますと、基本的には1つ目がIoTのデバイスに対する脆弱性診断、2つ目が通信に対する脆弱性診断、3つ目がクラウドに対する脆弱性診断、という形で3つ行っております。

1.IoTデバイス脆弱性診断

診断対象はハードウェア、ソフトウェア、インタフェース。簡単に言ってしまえば、ハードウェアはその装置、IoTの機器を実際にバラして、中に基板だったり小さなものが入っていますが、こちらから中のプログラムを例えば抜き出してみようとか、通信のところやCPU、実際に計算をしているところのチップから何か盗めたり攻撃できたりというものがないだろうかというのが1つ目です。

2つ目のソフトウェア診断は、そのCPUの中で走っているプログラムに問題がないだろうかというもの。

3つ目のインタフェース診断は、その外側に開いている口、例えば一般的なものだとUSBポートに何か問題がないかいうもの。これら3つの診断が、IoTデバイス脆弱性診断になります。

2.IoT通信脆弱性診断

先ほど私が口頭で説明しましたが、通信の暗号化は正しくできているかどうか、認証・認可の不備、ちゃんと送り先は正しいですか、間違ったところに送ろうとしている時にそれを検知できますか、こういった内容になります。

3.クラウド脆弱性診断

こちらも先ほど説明しましたが、設定不備がないかの診断、そして認証・認可、変な人、外部の人、第三者の攻撃者がアクセスできないようになっているかどうか、そして、APIの脆弱性診断、そもそものドローンなどのIoT機器でAPIのインタフェース受付の部分から内部に侵入できるといったようなものがないかどうかというのをチェックします。

経産省の取組み

現在、経産省様と一緒に、IoT機器に対する脆弱性検証という形で行っております。こちらの取組み経由でお申し込みいただければ、先ほど説明したような診断の内容が無料で実施いただけますので、新しい機器であったりとか、最近IoTではいろいろな機器が各社さんからいろいろなアイディアとともに出ているという状況ではありますが、変な攻撃であったりとか、それでアイディアが潰されてしまうとか、そういうことはやはり我々としても望まないので、こういう取組み等を使ってIoT機器が安全な形で、そこに乗っているアイディアを様々な人たちに対して素晴らしいというものをちゃんと宣伝を、ビジネスをやっていけるような基盤というものを一緒に作るという形で、まずセキュリティのチェックを我々と一緒にできればというものになります。