2017年5月12日に発生した「ワナクライ（WannaCry）」と呼ばれる地球規模のランサムウェア攻撃は、150カ国でおよそ20万台のコンピューターに被害を与えた。種々のコンピューターウイルスの中でも、近年、ランサムウェアによるサイバー犯罪が増加している理由は明白だ。手っ取り早く現金を手に入れられるからだ。

過去のランサムウェア攻撃では、サンフランシスコ公共交通システムの一部とロサンゼルスの病院のシステムが機能停止に陥り、ロサンゼルスの病院は再びシステムにアクセスできるようにするために、攻撃を仕掛けた犯罪集団に1万7000ドルを支払っている。ワナクライによる攻撃でも、犯罪集団は5月15日時点で5万5000ドルを上回る額のビットコインを得たと見られている。

⇒世界を震撼させたワナクライ攻撃 被害の深刻化を防げた理由

サイバー犯罪による被害を食い止める手段の第一歩は、OSやソフトウェアのセキュリティホールを塞ぐことだ。ワナクライによる攻撃もWindowsのセキュリティホールを突かれたが、セキュリティ・アップデートが施されていたコンピューターに関しては攻撃を受けていない。しかし、サイバー攻撃を行う犯罪集団は、さまざまな方法でプログラムの脆弱性を見つけ出す。ワナクライによる攻撃では、ハッカー集団「シャドウ・ブローカーズ」が米国国家情報局（NSA）から盗み出したWindowsの脆弱性情報が利用されたと見られている。マイクロソフトのブラッド・スミス社長兼CLO（最高法務責任者）は今回の事件の責任は米国政府にもあると述べ、発見した脆弱性を公表しない政府の対応を批判した。

⇒ランサムウェア攻撃で再燃する米政府の責任論

 

ボットによる防御の自動化も

ハッカーはソフトウェアの潜在的な脆弱性を自動的に分析するツールを使い、機械的にセキュリティホールを探し出す。一方で、ソフトウェアメーカーがセキュリティの欠陥を修復するパッチの開発と展開作業は手作業だ。そこで、コンピューターが自動的にセキュリティ上の欠陥を発見して検証し、それを修正するソフトウェアを自ら創出することを促す試みもある。2016年8月にラスベガスにあるカジノのダンスホールで開催されたコンテスト「サイバー・グランド・チャレンジ」では、ステージ上の複数のコンピューターが何時間もかけて他のコンピューター上で実行されているソフトウェアを攻撃し、自らも他のコンピューターからの攻撃を防御していた。

コンテストは米国国防総省の国防先端研究計画局（DARPA）が主催し、7つに分かれたチームの各コンピューターで、セキュリティ上の欠陥が仕込まれたプログラムが実行された。コンピューターは自チームのプログラムの欠陥を修復しつつ他のチームのプログラムを精査し、未修正の脆弱性を発見することでポイントを獲得する。大会に参加したマイクロソフト・リサーチのピーター・リー副社長は「自動的にセキュリティ上の欠陥を修正できれば、ソフトウェア企業はより安全に製品が提供できます」と述べている。

⇒ハッカーもついにロボット化自動的に敵を攻撃し、防御

世界的な脅威となりつつあるIoT機器のセキュリティ

コンピューターを狙ったサイバー攻撃はハッカーとのいたちごっこだが、さまざまな対策が考えられ、実行されている。一方で、早急な対策を求められているのが、インターネットに接続されたIoT機器を狙ったサイバー攻撃だ。最近、急速に普及しているIoT機器を操り人形のように利用した攻撃が、深刻な被害を与えるようになってきた。

実際、米国ではセキュリティ専門家のWebサイトが、100万台もの防犯カメラ、ビデオレコーダーなどからの攻撃によってダウンさせられた事件も起きている。インターネットにつながったこれらのIoT機器がハッカーに乗っ取られ、大量のデータやWebページ取得の要求などが、標的となるサーバーに送信されたのだ。

⇒IoT機器100万台による初の大規模DoS攻撃

IoT機器を利用したサイバー攻撃は、パソコンを利用した攻撃よりも深刻な側面がある。まず、攻撃に利用される機器の数が飛躍的に増えていく可能性だ。冷蔵庫や電子レンジ、照明器具に至るまで家庭内のさまざまな機器がインターネットに接続されれば、悪用される機器の数もパソコンの数とは比較にならない。

また、それらの機器は一旦家庭やオフィスに設置されると、大抵のユーザーはソフトウェアをアップデートしようとは思わないだろう。脆弱性を塞ぐ自動アップデートの仕組みと、それを前提としたハードウェア、ソフトウェアの設計がされていなければ、欠陥は対処されないまま放置され、サイバー攻撃に利用されることになる。

さらに深刻な問題は、空調や医療機器といったインターネットに接続されたIoT機器がハッカーに乗っ取られると、人体に被害を与え、ときには人命を危険にさらしてしまう可能があるということだ。

海外では送電網システムがハッキングされ、実際に電力供給が遮断される事件も発生している。日本でも普及が進められているスマートメーターや解析ソフトウェアなど新たなテクノロジーが導入されるにつれて、危険は増す一方だ。マサチューセッツ工科大学（MIT）国際研究センターの最近のレポートによると、発電所や変圧器、送電線の古くなった設備を、できるだけ経費を抑えながらインターネット接続型のより新しく効率的な機器と交換する場合、セキュリティ対策がつい後回しにされがちだという。送電網システムが乗っ取られると、一度に数万件という単位の家庭が重大な危険に晒されるだろう。家電から自動車、オフィス機器、医療機器、さらには送電網まで、あらゆる機器やシステムのネットワーク接続化がさらに進んでいく。そこで、早急に考えなければならないのが、IoT機器のセキュリティ対策のレベルを引き上げていくことだ。

⇒進化する送電網で増すサイバー攻撃のリスク

ミシガン大学コンピューター科学・工学部のケビン・フー教授（サイバーセキュリティ）は米国議会の公聴会で、IoT機器のセキュリティ検査を担当する独立機関を政府が設立するよう勧めた。設立にあたっては、米国国家道路交通安全局が自動車の市販前に行う衝突実験のような検査や、国家運輸安全性委員会が事故発生後に実施する衝突後検証のようなサイバー攻撃後検査、さらに「攻撃と破壊の耐性検査」なども実施し、IoT機器がどの程度攻撃に対応できるかを確かめるべきだ、とフー教授は指摘する。

米国国土安全保障省は2016年11月に「IoTのセキュリティを担保する戦略的原則」を取りまとめて公表し、政府が「設計段階でセキュリティ機能を組み込む」ことを怠る企業に対し、訴訟を起こせるよう提言した。さらに、さまざまな分野のテクノロジーに関する産業基準を定める米国国立標準技術研究所（NIST）機関は、「より防御力が高く攻撃耐性の強い」ネット接続型システムを開発するための業界向け自主的ガイドラインを策定した。

⇒セキュリティ専門家がIoT機器による大惨事の可能性を米議会で証言

日本でもすでに情報処理推進機構（IPA）をはじめとする公的機関から、IoTのセキュリティ対策についてのガイドラインが公開されている。経済産業省が策定した「サイバーセキュリティ経営ガイドライン」の重要10項目にも「系列企業や、サプライチェーンのビジネスパートナーを含めたサイバーセキュリティ対策の実施及び状況把握」が含まれている。NEC サイバーセキュリティ戦略本部シニアエキスパートの吉府研治氏は、「製造業のセキュリティ対策は情報システム部門だけでなく、工場、製品開発部門の3つで考えることが必要です。開発の初期段階からセキュリティを考慮した開発プロセスを構築すれば、セキュリティ品質を高めることができます」と語る。

IoTでは「つながること」の利便性へ意識が向かいがちだが、自社が製造する機器がサイバー攻撃の原因となれば、事業継続に影響が及ぶことさえある。しかし、日本ではセキュリティ対策に関して「経営者によるリーダーシップ表明/体制構築」に課題を持つ企業がまだ多いという。今後は製造業でもCISO（最高情報セキュリティ責任者）を置くなど、サイバーセキュリティ対策に当たる体制の構築と人材育成が重要な課題だ。

• 43
• 12
• 5
• 3

人気の記事ランキング

1. Why OpenAI’s new model is such a big deal GPT-4oを圧倒、オープンAI新モデル「o1」に注目すべき理由
2. Promotion MITTR Emerging Technology Nite #30 MITTR主催「生成AIと法規制のこの1年」開催のご案内
3. A brief guide to the greenhouse gases driving climate change CO2だけじゃない、今、知っておくべき温室効果ガス
4. Why virologists are getting increasingly nervous about bird flu 米国で感染拡大、もはや鳥だけの問題ではない「鳥インフル」問題
5. AI models let robots carry out tasks in unfamiliar environments 未知の環境でもタスクを完了、ロボット訓練の新AIモデル