インターネットに接続しているのはパソコンやスマートフォン、サーバーだけではありません。プリンタやWebカメラ、複合機などもインターネットに接続して使われており、これらネット接続機器(IoT機器)がハッキングされる事件が注目されています。今回は、家庭にあるIoT機器のセキュリティを守る対策について解説します。
<INDEX>
■IoT機器を狙うマルウェア「Mirai」
■IoT機器のリスクと一般家庭の注意点
■工場出荷時の「デフォルトパスワード」は変更を
■ルーターのUpnP機能を無効に
■ルーターのソフトウェアアップデートも忘れずに
■外部から利用する機能は可能なかぎり無効にする
<以下本文>
2016年10月、NetflixやTwitterなど大手サイトが、数時間ほどサービスにアクセスできなくなった。これら大手サイトが利用しているDNSサービス(注1)に対するDDoS攻撃(注2)の影響で発生したもので、メジャーなサイトがサイバー攻撃の被害を受けたとして、新聞などにも取り上げられた。この攻撃に利用されたマルウェア(ウイルス)は「Mirai」と呼ばれるもので、インターネットにつながった監視カメラなどに感染し攻撃に利用する特徴がある。
一般的なDDoS攻撃には、マルウェアに感染した大量のPC(ボットと呼ばれる)が利用されることが多い。ボットは、攻撃者の司令サーバー(C&Cサーバー)からの遠隔指示によって、標的サイトに対して大量の攻撃パケットを送りつける。標的サイトは、不特定多数のボットPCからの攻撃パケットにより、サービスに支障をきたすか、またはサイトがダウンしてしまう。
Miraiの場合、攻撃に使うボットはPCではなく監視カメラだった。PCならば、ウイルス対策ソフトなどでマルウェアの駆除も不可能ではないが、監視カメラのような機器は、そもそもウイルス対策ソフトをインストールしていなかったり、ソフトウェアのアップデートなど脆弱性を改修する機能がなかったりする。また、PCのようなユーザーがいるわけでもなく(機器の管理主体は存在するが)、ビルや屋外に設置された状態のものも多い。結果として、PCのようなウイルス対策や駆除が実行しにくい。
Miraiの攻撃について、新聞などでは「IoT機器がサイバー攻撃に利用されるようになった」と問題提起しているが、サーバーやPC、スマートフォン以外の機器がハッキングされるという問題は、以前から指摘されていた。記事末に挙げた警察庁の調査「IoT 機器を標的とした攻撃の観測について」(資料1)はその一例だ。
プリンタ、Webカメラ、複合機、ルーター、NAS(注2)、自動販売機、デジタルサイネージ(注3)、各種キオスク端末(注4)などは、中身はWindowsやLinux(注5)を搭載したコンピュータであることが多く、PCやサーバーに使える攻撃方法が有効な機器も存在する。最近では自動車のハッキングも話題になるが、これも以前から指摘されていた問題だ。
図1 IoT接続機器を守るファイアウォール(出所:JPCERTコーディネーションセンター記事。資料2)
ならば、一般ユーザーでも、ネットワークにつながるプリンタ、NAS、Webカメラなどを持っているから、Miraiのようなマルウェアに感染するのではないかと思うかもしれない。一部は正解であり、その意識を持つことは重要だ。しかし、通常家庭内のネットワークは、プロバイダーや通信事業者から提供されるブロードバンドルーター、またはホームルーターと呼ばれる機器が、外部からの接続を拒否してくれるので、一定の安全は確保されている。図1は、主に企業に向けた注意喚起の図解だが、この図のファイアウォールに相当する部分は、一般家庭の場合、ホームルーターが担っている。
とはいうものの、注意すべき点がないわけではない。以下に簡単に整理しよう。
まず注意すべきは、家の中と外の境界となっているホームルーターの設定だ。ルーターの設定は、自ら必要性を感じたり、認識したりしないのであれば、工場出荷の状態からなるべく変更しないことが望ましい。ルーターの管理画面(通常、ブラウザに192.168.0.1のようなIPアドレスでアクセスする)では、「ファイアウォール」や「ポート開放」に関する設定ができるようになっているが、設定変更の意味や影響がわからない状態で、むやみに変更するのは危険である。
逆に変更すべき項目は、管理者のパスワードだ。管理画面のログインにはパスワードが必要だが、工場出荷時のデフォルトパスワード(マニュアル等に記載されている)をそのまま使い続けないようにする。理由は説明するまでもないが、攻撃者はさまざまな製品のデフォルトパスワードの情報を持っている。あるいはデフォルトパスワードに設定されがちなキーワードで、簡単にログインされてしまうからだ。
図2 初期設定の管理パスワードを必ず強固なものに変更する
もうひとつ確認してほしい項目は、ルーターの「UPnP」の設定だ。これがONまたは有効になっている場合、OFFまたは無効に設定する。デフォルトでON/有効になっている製品が多いので注意してほしい。UPnP(Universal Plug and Play )は、ネットワークに接続した機器どうしが直接通信し、必要な設定などを自動的に行う仕組みのこと。UPnPが有効だと、家庭内の対応機器やアプリなどが、外部からの接続を受け入れられるようにルーターの設定を変えてしまうことがある。ルーターの管理画面から操作するのと違い、認証無しで設定を変更できてしまうので注意が必要だ。ルーターで保護していたつもりが、インターネットから丸見えだったということのないよう、可能な限りUPnPを無効化しておくことをおすすめする。
図3 ルーターのUpnP機能は可能な限り無効にする
次に注意が必要なのは、インターネットに直接つながり、家の内側(通常LAN側という)の機器を守っているルーター本体の脆弱性だ。もし、ルーター製品になんらかの脆弱性が発見されれば、メーカーのホームページでアナウンスされたり、サポートメールで連絡がきたりする。ホームページの案内やメールの案内に従って、ソフトウェアまたはファームウェアのアップデートを行う。
図4 ファームウェアを最新のものに更新する
ファームウェア(機器に組み込まれたソフトウェア)のアップデートは、ユーザーが各社のサポートサイトから更新用のファイルをダウンロードして適用する方法や、機器に直接ダウンロードして適用する方法が一般的だったが(図5)、最近はWindows Updateなどと同じように機器が定期的に更新チェックを行い、自動的に適用する機能をサポートした製品も増えている。詳しくは、各製品のサポートページやマニュアルを参照していただきたい。
ネット接続機器の中には、外出先からインターネット経由で利用するリモートアクセス機能を持つものがある。外出先からファイルにアクセスできるNAS、ライブ映像を監視できるカメラ、録音した音楽や録画した番組を再生できるメディアプレーヤーやビデオレコーダーなどがそれだ。こうした機能を利用する際には、外部からその機器に直接アクセスできるように、手動またはUPnPを使って自動的にルーターの設定を変更するのが一般的だ。外部からの特定の接続要求がその機器に届くようにする設定で、ポート開放、ポートマッピングなどと呼ばれている。
一般的な家庭用ルーターは、外部からは接続できないという特性の他には、簡易的なファイアウォール機能しか持たないものが多い。この場合、接続できるようにした機器が常時インターネットにさらされ、不特定多数からの接続を無条件で許してしまうことになる。認証を破られれば第三者に利用され、機器に脆弱性が見つかれば攻撃にさらされてしまうかもしれない。
リスクを回避するには、外部からアクセスする機能を可能な限り利用せず無効にし、必要な場合には、代替サービスや、より安全な接続方法を提供する機器を検討することをお勧めする。NASの代替サービスならクラウドストレージで、オーディオやビデオの再生なら音楽ストレージや配信サービスで、カバーできるかもしれない。ポート開放をせずUPnPも無効のままで、外部からルーター越しに接続できる機能を提供する製品もいくつかある。管理サーバーの認証を受けないと接続できない仕組みなので、脆弱性攻撃のリスクが低減される。
図5 外部から利用する機能(リモートアクセス、リモートメンテナンス)は可能なかぎり無効にする。
(執筆:現代フォーラム/中尾)
<注1>
・DNSサービス:
ドメイン名からグローバルIPアドレスを検索する仕組みを提供するサービス。
詳しくは下記(DNSサービスって何?)参照
https://www.so-net.ne.jp/option/domain/study/what_dns.html
<注2>
・DDoS攻撃:
大量のネット接続機器が特定のネットワークやコンピュータへ一斉に接続要求を出し、通信容量を溢れさせて機能停止に追い込む攻撃のこと。
<注3>
・NAS:
PCやサーバーの外部記憶として接続するのではなく,ネットワーク上に直接接続するファイルサーバーのこと。
<注4>
・デジタルサイネージ:
ネットワークにつながりプログラマブルに表示を切り替えたり、カメラやセンサー情報を利用して動的に表示や機能を切り替えたりすることが可能な電子看板のこと。
<注5>
・各種キオスク端末:
店頭、公共施設などで各種オンラインサービスを提供する端末のこと。コンビニ端末はその一例。
<注6>
・Linux:
サーバーなどに利用されることが多いOS(基本ソフト)のこと。
<資料1>
・IoT 機器を標的とした攻撃の観測について[PDF](警察庁)
https://www.npa.go.jp/cyberpolice/detect/pdf/20151215_1.pdf
<資料2>
・注意喚起「ネットワークに接続されたシステム・機器の設定には注意を」(JPCERTコーディネーションセンター)
https://www.jpcert.or.jp/pr/2016/pr160001.html