IoTが情報セキュリティの分岐点となる、その理由とは

この記事をシェア
IoTが情報セキュリティの分岐点となる、その理由とは

IoTの時代が到来した。これから、あらゆるモノがネットワークでつながり始める。すると、これまで以上にセキュリティへの不安も高まる。パソコンやスマートフォンは比較的対策が取りやすい方であったが、はたして本当にIoT全てが安全性を確保できるのだろうか。

この記事は、ESETが運営するマルウェアやセキュリティに関する情報サイト「We Live Security」の記事を基に、
日本向けの解説を加えて編集したものである。

ウェアラブル機器の市場が熱い。通信速度の向上と充電技術の進化によって支えられつつ、ほとんど前例がないほどの盛り上がりを見せている。しかし、こうしたIoT(=モノのインターネット)機器には、伝統的な意味でのセキュリティ概念がそのまま通用しない。なにしろIoT機器は、質量ともにあまりにも広範囲に及んでいるからである。しかし、実際のセキュリティをどう行っていくべきなのかは、IoTが直面している最大の課題であり、避けては通れない。数年前までそこにあったのは、ただの、数十億の小さな別々の機器だったが、今では全てがつながる可能性を持っており、全てがつながっているということはさまざまなセキュリティ問題が発生するということなのである。

また、こんな事実もある。米連邦政府職員が職員の個人情報にアクセスするためのシステムである「e-QIP」のセキュリティチェックを行ったところ、すでにハッキングされた形跡が確認され、数週間にわたって閉鎖に追い込まれた(日本では年金機構の個人情報が漏えいしたというニュースもあった)。このことからも分かるように、セキュリティ問題に政府機関が関わる機会が確実に増えており、問題は山積みだ。しかもそのただなかでIoTというセキュリティへの最大の挑戦が始まっている――そう考えるのは、セキュリティ業界でも屈指の専門家であり先進的な知見を持っているリチャード・J・ツウィーネンバーグ(ESETシニア研究フェロー)である。以下はツウィーネンバーグへのインタビューである。

Q 現在サイバーセキュリティは政府の課題の中ではかなり上位にあります。しかしそれは、先手を打っているためなのか、それとも後手に回って巻き返しを図ろうとしているのか、どちらでしょうか。

ツウィーネンバーグ この件については、明らかに、後手に回っているものと考えられるでしょう。というよりも、事実として、対応があまりにも遅すぎます。もちろん一方で、サイバー犯罪に対して先頭を切って闘い、人々に情報を提供し、危険なものは前もって注意を喚起し、国際的に協力し合おうとする姿勢も見られます。それは、素晴らしい、の一言に尽きます。しかし他方では故意にたくさんの政府の活動(例えば社会保険制度)に対して時代遅れのOSや安全性が確保されていない不安定なプラットフォームなどを使い続けています。これはいったい、どうしたことでしょうか。

Q メディアについては、セキュリティ問題やマルウェアをそれなりに追い掛け続けているように見えますが、昨年起こったソニーの事件はどうでしょう。最後まで報道していたと言えるでしょうか。

ツウィーネンバーグ メディアはいつも犯罪を報道しています。そして犯罪はサイバー空間にシフトしています。メディアが自社でスクープを取ろうと必死なのは、別に悪いことではありません。しかしそれが、できることなら、セキュリティに関して読者に注意を喚起し、学ぶ機会を提供し、さらにはセキュリティ意識を高めることになってほしい。 例えば昨年、セキュリティの専門家が電球のためのソフトウェアの脆弱性を発見しました。電球? そうなのです。いつものソケットにはめ込んでいる電球なのです。といっても今やその電球は、単体でそこにあるのではありません。インターネットにつながっており、Wi-Fiによって電源をオンにしたり色合いを変えるなど、多彩な操作が遠隔で行えるのです。 もし10年前にあなたが、近い将来、電球がネットワークにつながった機器となりWi-Fiネットワークと接続するだろうと言ったとしても、誰も信じはしなかったでしょう。ですが今それは当たり前のものとなりつつあります。セキュリティのことで思い悩んだり、ファームウェアをアップデートしなければならない機器、それが電球となっているのです。これからの犯罪者は電球を乗っ取ろうとしている、と考えなければなりません。そう、電球がスパムの発信元となったりするかもしれません。いいえ、これは冗談ではすまされないのです。 今後、さまざまな機器がインターネットに接続されるまで、それほど時間はかからないでしょう。IoTとそのセキュリティは来るべき未来にとって「キーアイテム」です。ただし大きな問題もあります、それらIoT全ての機器にセキュリティソフトウェアを実行させるだけの十分なメモリーを確保できないかもしれないのです。そしてネットワークもまた、違反者を見つけ出せるようにしっかりと保護を行わなければならないし、ネットワークへの侵入を防がなければならないのです。

 

Q この20年間でセキュリティ業界はどのように変化しましたか?

ツウィーネンバーグ かなり大きく変わった、と言えるでしょう。1980年代においては、この業界にいる者なら誰でも、世界をマルウェアやサイバー犯罪から守ろうという情熱がありました。しかも私たちはお互いのことをよく知っていました。しかし今や企業が巨大化するとともに、セキュリティを取り扱うことはサイドビジネスのようにもなってきており、高い収益を上げることに目が向き始めています。

私がESETで働き始めた理由のうちの一つは、コンピューター・セキュリティ業界がユーザーのことを気遣い、多くのことを伝えようとする情熱を持っていたからです。少なくとも、サードパーティのソフトウェアをバンドルすることによって収益を上げようなどとは、当時誰も思ってもいませんでした。

もちろん、初期のころには楽しみがたくさんありました。ウイルス作成者とアンチウイルスの専門家との闘いは、まるでゲームを楽しんでいるかのようなところがありました。ウイルス作成者は自分の能力を誇示することにしか興味がなく、知られること(ニックネームであるが)をむしろ望んでいました。当時は多くの人に関心を持たれることで、名声と栄光が得られたのです。

しかし今、もはや状況が全く違っています。ランサムウェアやクリプトロッカーを見れば分かるでしょう。一般的にマルウェアというものは可視的であることを望みません。サイバー犯罪者なら、さらに一層望んでいないでしょう。かつてのマルウェア作成者のモチベーションは、名声欲、すなわち多くの人に認めてもらいたい、称賛されたい、驚かせたい、といったことだったのですが、今や、データを盗むこと、お金、知的所有権などを取得することに変わっているのです。

しかも、最近では国がスポンサーとなってマルウェアを作らせています。作成の依頼主たちは、マルウェアの開発に数百万ドルかける場合もあります。そうした世界においては、これまでとは全く異なる「パンドラの箱」を開こうとしているのかもしれません。

Q それでは最後に、これまであなたが扱ったことがあるマルウェアの中で最も挑発的だったものは何でしたか?

いずれも興味深く、挑戦的だったと思いますので、その問いに答えるのは難しいですが、あえて一つだけと言うのなら、振り返ってみれば、おそらく1990年に出現した「アンスラックス」(Anthrax)と呼ばれる最初のハイブリッド型のウイルスではないでしょうか。これは偽名ですがダーク・アベンジャー(Dark Avenger)が作成したとされています。これには、ウイルスにステルス機能と暗号化メカニズムが結合されていました。いわゆるブートセクタ感染型ウイルスだったのです。このとき、しみじみと、技術の進化というものを痛感しました。またそればかりでなく、今で言う「ソーシャル・エンジニアリング」が利用されたのでした。

リチャード・J・ツウィーネンバーグ(Righard J. Zwienenberg)オランダ、デルフト工科大学でウイルス問題に最初に遭遇した後、1988年よりESETシニア研究フェロー。1991年よりCARO(コンピューター・アンチウイルス研究者機構)の会員、AMTSO(アンチマルウェアテスト標準化機構)の代表。AVAR(アジアアンチウイルス研究者会)の副代表。またワイルドリストの技術評価評議員。さらにウイルスブリテン、EICAR、AVAR、RSA、InfoSec、CFETなどが主催する会議で頻繁に講演を行っている。

この記事をシェア

標的型攻撃のセキュリティ対策に

サイバーセキュリティ
情報局の最新情報を
チェック!