日本の総務省は、来月から、エンタープライズネットワークレベルから国民が「デフォルトパスワードを変更していないで」使用している Web カメラまであらゆる機器を対象に、モノのインターネット (IoT) に対してクレデンシャルスタッフィング攻撃を実行します。
クレデンシャルスタッフィング (パスワードリスト型攻撃) とは、盗み出したログインクレデンシャル (認証情報) を使用して別のサイトにログインできるかどうかを試行し、同じクレデンシャルが使い回されている場所を特定する攻撃です。多くのユーザーがいくつもの Web サイトで同じパスワードを使い回す悪癖を持っているので、この攻撃手法は効果的になっています。
NHK によると、日本政府は 1 月 25 日金曜日にこの実施計画を承認しました。
この計画では、2 月中旬に国立研究開発法人情報通信研究機構 (NICT) の担当者がユーザー ID とパスワードを生成し、ルーターや Web カメラなどのランダムに選択された約 2 億台の IoT デバイスに侵入します。
侵入を許したデバイスの所有者には、サイバーセキュリティ対策を強化するように注意を促すことになっています。
この目標は、2020年の東京オリンピックとパラリンピックを迎えるにあたって、攻撃に悪用される恐れがあるデバイスを削減することです。それは悪いアイデアではありません。昨年、韓国ピョンチャンで開催された冬季オリンピックの開幕式ではいくつかのシステムがサイバー攻撃によってダウンした経緯もあります。
2018 年の冬季オリンピックのインシデントの正確な詳細は分からないままですが、米国の一部の諜報機関は、北朝鮮を装ったロシアの攻撃であると非難しています。
目標はオリンピックに向けた準備ですが、一般的なセキュリティ対策の強化につながることが期待されています。NICT は、IoT デバイスが 2017 年に検出されたサイバー攻撃の中心的な攻撃対象 (54%) もなっていることを報告しています。
小規模なデバイスが集まり大規模なボットネットとなる
IoT デバイスは、個別で見た場合のコンピューティング能力はさほどでもありませんが、集合的に利用することで、甚大な被害をもたらす恐れがあります。
FBI は、2018 年 5 月に登場した VPNFilter と呼ばれる巨大な IoT ボットネットの背後にロシアの関与があると見ており、VPNFilter は、Sofacy Group や apt28 などとしても知られるロシアのハッカー集団 Fancy Bear によって作成されたと考えています。
当時、世界中で 50 万台以上デバイスがこのマルウェアに感染した恐れがあり、感染したデバイスはさまざまなベンダーのコンシューマー向けのインターネットルーターでした。
最近では、北朝鮮から打ち上げられた 3 発の大陸間弾道ミサイル (ICBM) に関する偽の警報を放送する目的で、米国ベイエリアのある家庭の IoT Nest セキュリティカメラがハイジャックされています。
残念なことですが、パスワードを使いまわしたり、IoT デバイスのデフォルトのパスワードを変更しなかったりするケースが多く見られますが、同様に、セキュリティ対策が採られていないデバイスを Web から検索する Shodan のような検索エンジンを使用することは、研究者にとっても攻撃者にとっても極めて簡単なことです。
日本政府は、インターネットにアクセスしている脆弱な機器を特定しようとしているだけで、特に目新しいことをしているわけではありません。ビッグ・ブラザー (ジョージ・オーウェルの SF 小説) のように、市民の Web カメラやその他の IoT デバイスが政府によって監視されているような気がするかもしれませんが、セキュリティ研究者や犯罪者がしていることを政府がしているだけです。
IoTへの不正アクセスを防止する方法
政府の今回の対策の是非については、議論する価値があるでしょう。しかし、短期的には、このニュースは、日本人だけではなく他の国の市民にとっても、使用しているデバイスを不正アクセスから守るための準備を促すメッセージになるはずです。
結局のところ、情報セキュリティ大学院大学の湯淺墾道氏が指摘しているように、NICT の研究者は市民の Web カメラの映像や保存されているデータを見てしまうことも考えられます。
湯淺氏は、調査でデバイスの所有者のアイデンティティが分かってしまう場合、それは、憲法で定められているプライバシー権の侵害になると述べています。NICT は、発見したデータは非公開にし、データが漏洩しないことを保証するとしています。
NICT のこの約束を疑う理由はありませんが、データは漏洩するものです。漏えいしないような対策を講じましょう。NICT、ハッカー、またはセキュリティ研究者が自分の IoT デバイスにアクセスするのを座して待っているべきではありません。すべてのユーザーが、以下の対策を行い、デバイスをしっかりと保護するべきです。
- ベビーモニターや他の IP カメラを保護する方法を確認しましょう。
- パスワードの使いまわしをやめましょう。すべてのオンラインサービスおよびサイトでは、推測しにくい一意のパスワードを使用してください。
- 強力なパスワードを 1 つしか覚えられない場合は、パスワードマネージャーを試してみましょう。
- 可能であれば、多要素認証または二要素認証と呼ばれる 2 段階の認証プロセスを使用してください。他要素認証は完璧ではありませんが、YubiKey のような FIDO U2F (または最新の FIDO2) ハードウェアトークンなど、最も安全なオプションを選択すれば、高い効果を発揮します。