NOTICEが始まった

「電気通信事業法及び国立研究開発法人情報通信研究機構法の一部を改正する法律」に基づく事前調査が昨年11月から実施された。具体的には、日本国内のIPv4アドレスを対象に、22(SSH)、23(Telnet)、80(HTTP)等のポート番号へのスキャン、ポートが開放状態になっているアドレス数の規模調査、及びポート開放状態のアドレスに対して動作しているサービスの種類・そのバージョン情報・機器種別などの状況調査である[1]。そして、いよいよ本年2月20日にサイバー攻撃に悪用される恐れのあるIoT機器を特定し、当該機器の情報をインターネットプロバイダに通知し、利用者に注意喚起する取り組みNOTICE(National Operation Towards IoT Clean Environment)が始まった[2,3,4]

具体的には、①情報通信研究機構がインターネット上のIoT機器に対して、容易に推測される約100通りのID・パスワードを入力する、次にサイバー攻撃に悪用される恐れのあるIoT機器のバナー情報を取得し、IPアドレス、タイムスタンプ、ポート番号、ID・パスワードを含めて機種とその関連情報を記録する、②当該機器の情報をインターネットプロバイダに通知する、③インターネットプロバイダが当該機器の利用者を特定し注意喚起するというものだ。

この背景には、IoT機器に起因する大規模障害事案[5,6]や、NICTER観測レポート2018[7]に示されているようにIoT機器の脆弱性を狙う攻撃が増えており、我々の生活には欠かせなくなっているIoT機器の脆弱性対策や被害の未然防止・拡大防止が必要不可欠となっていること、2020年オリンピック・パラリンピック東京大会などを控えていることなどがある。

IoT機器とOSS活用の課題

IoT機器は、我々の身近にあるウエアラブル機器、スマートスピーカ、スマートTV、監視カメラ、HEMS、産業用制御システムや監視制御システム、さらに今後も拡大する自動車や医療機器なども含まれる。広く一般に利用されている家庭用のブロードバンドルータ、スマートスピーカ、監視カメラ等の機器はオープソースソフトウェア(以後OSS)を利用して作られていることが多い。OSSはコミュニティーの慣習から、脆弱性が発見された場合は開発元から直ちにパッチが公開されるのが一般的である。しかし、パッチや更新の適用はOSSを利用したソフトウェアやシステムの開発者・利用者に委ねられていることが多く、そのため適切な対応が行われないことが起きやすい。またIoT機器の場合、ファームウェアの更改がなかなか進まない、出荷の際に最新化せずに当初のままのファ-ムウェアで出荷されるケース、機器のサポート期間が終了しファームウェアの更新版や修正パッチがリリースされないケースもある。さらに悪いことに、家庭用のIoT機器の場合、そのファームウェアの更新・設定作業は一般の利用者側に委ねられている。

OSSのセキュリティに関しては、Black Duck Softwareのレポート(2018  Open Source Security and Risk Analysis Report)[8]に大変興味深いデータが示されている。IoTアプリケーションでは、コードベースで77%にオープンソースのコンポーネントが使われていて、アプリケーションあたり平均677件の脆弱性が発見されたという内容である。OSSの脆弱性は、IoT機器やIoTアプリケーションに限らず、Webを含め数多くのサイバ-攻撃に悪用されている。また、古くから発見、指摘されている脆弱性がそのまま残っているものも存在すると考える。

弊社でも身近にあるIoT機器2機種(A:無線LANアクセスポイント機器、B:監視カメラ)を対象に、IoT機器のセキュリティ診断PoC(Proof of Concept)を行ってみた。両機器ともにLinuxを用いたIoT機器であり、AではOSSに起因する脆弱性と思われる指摘事項が1000件程度見つかり、この殆どは古いLinux OSをベースにファームウェアを作っていることが原因であった。ファームウェアのバージョン番号の情報を調べたところ、このファームウェアが世の中に出荷されたのは2017年であるが、そのLinux OSは当時の最新版ではなく2012年の版を用いていた。2012年版のこのLinux OSには 数百もの脆弱性が存在することが判っている。また、その中でもCVSS(Common Vulnerability Scoring System)のスコア値が10の脆弱性は、数十の単位で存在している。ちなみに、このIoT機器のファームウェアは2017年版のあと、約1年2ヶ月後に最新版が出ているが、未だに多くの古い版が利用されているのではないかと推察する。また解析ツールにより判明したセキュリティ上の他の問題点もいくつかあった。少し技術的な話になるが、例えば、①コンパイラやリンカのセキュリティフラグを適切に利用していないのでPIE:Position Independent Executable、NES:Non-executable Stack、NEH:Non-executable Heap等の脆弱性が残ったままになっている、②デバッグツールや開発用のツールがファームウェアに組み込まれたままになっている、③リモートログインのプロトコルとして暗号化通信機能を用いないでtelnetをそのまま使っている等である。また、Bの監視カメラでもOSSに起因する脆弱性と思われる指摘事項は70件程度あった。今回のPoCはツールによる分析なので、Webサーバのセキュリティ診断同様、誤検出(False-Positive)も含んでいると考えるが、Black Duck Softwareのレポートに示されているように、多くのセキュリティ脆弱性を残したままIoT機器が利用されているのは事実のようである。

DevSecOpsのすすめ

NOTICE の取り組みは大変重要であるが、これに加え、IoT機器の開発段階でセキュリティ機能を考慮した開発をすること、既知の脆弱性をそのまま盛り込まないことは、さらに重要である。

OWASP-IoT-Top-10-2018が昨年末にリリースされた[9,10]。これはIoT開発・製造業者、IoT利用者向けにIoTセキュリティ上の懸念点をまとめたものである。①Weak, Guessable, Hardcoded Password、②Insecure Network Services、③Insecure Ecosystem interfaces、④Lack of Service Update Mechanism、⑤Use of Insecure or Outdated Components等の10項目が示されている。また、IoT Security Foundationが出しているベストプラクティス集[11]も開発上で考慮すべき事項として参考になる。

NISTのフレームワーク(システム開発ライフサイクルにおけるセキュリティの考慮事項)では、「開始」、「開発/調達」、「インプリメンテーション/アセスメント」、「運用/保 守」、「廃棄」の 5 つのフェーズを定義し、各フェーズにおいてセキュリティを効果的に組 み込むためのタスクを規定している[12]。現実の開発現場では、リリース直前になって初めてセキュリティ診断を実施するケースが多いが、NISTやIoT Security Foundationの指針では、開発・調達のライフサイクル全体でセキュリティを考慮し、対策を実施するという考え方が示されている。

セキュリティ要件を開発の初期段階から考慮するとともに、どんな開発スタイルをとるにしろ、従来の開発ツール群にセキュリティ診断ツールを統合し、開発、リリース、さらに出荷後の監視も行う思想や開発が求められている。開発、リリース、改善の一連のプロセスを反復し、提供するサービスのビジネス価値、顧客の利便性を高めるプロセスの中にセキュリティを組み込む経営方針が求められている。

[1]https://www.nict.go.jp/info/topics/2018/11/07-2.html

[2]http://www.soumu.go.jp/main_content/000597680.pdf

[3]https://notice.go.jp/

[4]http://www.soumu.go.jp/menu_news/s-news/01cyber01_02000001_00011.html 

[5]https://www.infosecurity-magazine.com/news/mirai-again-dt-outage-a-precursor

[6]https://www.forensicmag.com/article/2014/11/spark-dns-bounces-ddos-attack

[7]http://www.nict.go.jp/cyber/report/NICTER_report_2018.pdf

[8]https://www.blackducksoftware.com/open-source-security-risk-analysis-2018

[9]https://www.owasp.org/index.php/OWASP_Internet_of_Things_Project

[10]https://www.owasp.org/images/1/1c/OWASP-IoT-Top-10-2018-final.pdf

[11]https://www.iotsecurityfoundation.org/wp-content/uploads/2018/12/Best-Practice-Guides-Release-1.2.1-December-2018_final.pdf

[12]https://csrc.nist.gov/publications/detail/sp/800-64/rev-2/final

<サイバーセキュリティのことなら下記へ>

https://www.ntt-at.co.jp/inquiry/product/