横浜国立大学 情報・物理セキュリティ研究拠点(拠点長:松本 勉教授)とBBSSは、一般家庭を想定した「コネクテッドホーム試験室」において、国内で一般に販売されているインターネット接続機能のあるさまざまな家電、ネットワーク機器、IoT機器などを設置し、それらに対するサイバー攻撃、マルウェアの感染や活動の観測を行い、家庭のネットワーク環境やIoT機器、パソコンなどにどのような影響を及ぼすか、また、将来におけるリスクと対応策、防御方法などについて研究を行いました。共同研究の主な成果は以下のとおりです。
■IoTマルウェアによる脅威
2017年7月から2017年12月におけるハニーポットによる観測では、攻撃者がサイバー攻撃のインフラ拡大、維持のためにさまざまな機器の脆弱性を狙い試行錯誤している様子が見られました。2017年11月以降は、日本国内へのIoTマルウェアの感染拡大が確認されました。収集したマルウェア検体の解析や外部からのサイバー攻撃の引き込み実験の結果、3~5%程度のマルウェア検体は、家庭内の機器にも攻撃を行うことが確認されましたが、これらは無作為に目標が設定される一連の攻撃の一部として偶発的に発生しており、家庭内のIoT機器を明確に狙った脅威は確認されませんでした。
■生活環境を模した試験室での擬似攻撃実験で得た知見
LAN内部はルーター機器による隔離によって、現存するIoTマルウェアの感染を防いでいる状況が確認できました。しかし、守りの要であるルーター機器への侵入を許すとその限りではないことが確認されました。また、一般家庭をモデルとした「コネクテッドホーム試験室」での擬似攻撃実験では、生活環境で攻撃による影響(例:テレビや照明が勝手についたり消えたりする)が発生した際の恐怖感や、攻撃の仕方によっては脅しなどの心理的影響を与えることが可能であると確認できました。
■保護ソリューションの有効性の確認
この研究では、家庭内ネットワークを守る一般消費者向けのIoTセキュリティボックス製品の保護性能についても調査を行いました。結果は、IoTマルウェアによるポートスキャンやフィッシングサイトへの誘導などの実在する脅威に対する一定の有効性が確認できたものの、マルウェア感染を防げないケース、感染の事実を検知できないケースも確認されました。また、擬似攻撃などの未知の攻撃手法への対応は不十分な面も確認されました。このような家庭用のネットワークセキュリティ製品は必要性が高まっていくと考えられ、今後のセキュリティベンダーにおける研究、開発による機能向上に期待したいと考えます。
当研究プロジェクトの最終報告のまとめとして、一般消費者のIoT機器のセキュリティ対策を後押しするべく、家庭用IoT機器メーカーおよびセキュリティサービス事業者に向けて、次のとおり提言します。
■一般消費者のIoTセキュリティ対策に関する3つの提言
1.家庭内のルーター機器、IoT機器の保護機能の強化
ルーター機器やスマート家電などIoT機器提供各社においては、機器の脆弱性への適切な対応を行い、バックドアを設けない。管理機能へアクセスするID、パスワードの設定変更を利用者に促す仕組みを有し、脆弱性に対応するためのセキュリティアップデートが自動的に行われる設定が可能であることが望ましい。
2.IoT機器の通信の暗号化、認証機能の実装とガイドラインの整備
遠隔操作のための通信が暗号化や認証なしで行われている機器は、容易に不正操作が行われる危険性がある。IoT機器のメーカーによる通信の暗号化と認証機能の実装が望まれる。一般消費者がこれらの対策の有無の確認を行うことは困難であるため、セキュリティ要件をガイドライン等として定め、一般消費者が判断可能となるような認証等の制度の整備が望まれる。
3.IoTマルウェア対策への継続した評価
近年登場しているホームネットワークセキュリティ製品は、接続機器を可視化し、脆弱性や不正なトラフィックを監視する機能を備えている。家庭内のネットワーク接続機器のセキュリティ状態を把握する上で一定の効果が期待されるが、変遷を続けるサイバー攻撃に追随する防御機能を有するかについては継続した評価が必要と言える。
■最終報告書は、以下の共同研究ページで公開しています。
横浜国立大学-BBSS IoTサイバーセキュリティ共同研究プロジェクトページ
https://www.bbss.co.jp/business/service/iot_lab.html
■今後の展望
IoTサイバーセキュリティ脅威への対策をシステムや製品に計画的に反映させていくことができる大規模な事業者と比較して、一般消費者向けのIoT製品メーカーやサービス事業者などのベンチャー企業では、IoTセキュリティ対策を実行する体制や資金を確保する事は困難だと予想されます。
これからのIoT技術によって実現する高度ネットワーク社会において、一般消費者はそのようなリスクを前提とし、自衛のための知識や対策を検討せねばならないと言えます。
また、この共同研究では、まだ一般消費者が影響を受けるリスクについての、ごく一部分しか捉えることができていません。引き続き、横浜国立大学とBBSSは、2018年度も新たな課題を設定し、共同研究を継続していきたいと考えています。
<以下参考資料>
■横浜国立大学 情報・物理セキュリティ研究拠点について
横浜国立大学の「情報・物理セキュリティ研究拠点」は、情報・物理セキュリティ分野における未解決問題の特定と解決を目指し学術面で貢献するとともに、社会への実展開を志向する、研究実践グループです。また、研究成果を活かしたセキュリティ解析力強化の取組みなど教育面にも力を入れています。松本 勉教授(拠点長)、四方順司教授、吉岡 克成准教授をコアメンバーとし、関連研究者と大学院および学部学生等から成り立っています。
■BBソフトサービス株式会社について
ソフトバンクグループにおいて、セキュリティ製品を主軸とするソフトウェアサービスを、ISPや携帯電話会社などの通信事業者を通じて提供し、現在のソフトウェアサービスの利用数は1,300万ライセンスを超えています。サービス提供のみならず、情報セキュリティに関する啓発活動にも積極的に取り組んでおり、一般消費者のサイバー犯罪被害を減らし、よりよいインターネット利用環境全てのユーザーに提供することで社会貢献を果たしてまいります。
■組織概要
名称: 横浜国立大学 情報・物理セキュリティ研究拠点
所在地:神奈川県横浜市保土ヶ谷区常盤台79-7
拠点長:松本 勉 教授
URL: http://ipsr.ynu.ac.jp/
■会社概要
社名: BBソフトサービス株式会社
所在地:東京都中央区銀座6-18-2 野村不動産銀座ビル14階
社長: 取締役社長 兼 COO 原山 健一
設立日:2006年1月17日
株主: ソフトバンクコマース&サービス株式会社 100%
事業内容:ブロードバンドを利用したコンシューマー・SOHO用アプリケーションサービス、およびオリジナルアプリケーションサービスの企画・開発・販売・運営
URL: https://bbss.co.jp/
■IoTマルウェアによる脅威
2017年7月から2017年12月におけるハニーポットによる観測では、攻撃者がサイバー攻撃のインフラ拡大、維持のためにさまざまな機器の脆弱性を狙い試行錯誤している様子が見られました。2017年11月以降は、日本国内へのIoTマルウェアの感染拡大が確認されました。収集したマルウェア検体の解析や外部からのサイバー攻撃の引き込み実験の結果、3~5%程度のマルウェア検体は、家庭内の機器にも攻撃を行うことが確認されましたが、これらは無作為に目標が設定される一連の攻撃の一部として偶発的に発生しており、家庭内のIoT機器を明確に狙った脅威は確認されませんでした。
■生活環境を模した試験室での擬似攻撃実験で得た知見
LAN内部はルーター機器による隔離によって、現存するIoTマルウェアの感染を防いでいる状況が確認できました。しかし、守りの要であるルーター機器への侵入を許すとその限りではないことが確認されました。また、一般家庭をモデルとした「コネクテッドホーム試験室」での擬似攻撃実験では、生活環境で攻撃による影響(例:テレビや照明が勝手についたり消えたりする)が発生した際の恐怖感や、攻撃の仕方によっては脅しなどの心理的影響を与えることが可能であると確認できました。
■保護ソリューションの有効性の確認
この研究では、家庭内ネットワークを守る一般消費者向けのIoTセキュリティボックス製品の保護性能についても調査を行いました。結果は、IoTマルウェアによるポートスキャンやフィッシングサイトへの誘導などの実在する脅威に対する一定の有効性が確認できたものの、マルウェア感染を防げないケース、感染の事実を検知できないケースも確認されました。また、擬似攻撃などの未知の攻撃手法への対応は不十分な面も確認されました。このような家庭用のネットワークセキュリティ製品は必要性が高まっていくと考えられ、今後のセキュリティベンダーにおける研究、開発による機能向上に期待したいと考えます。
当研究プロジェクトの最終報告のまとめとして、一般消費者のIoT機器のセキュリティ対策を後押しするべく、家庭用IoT機器メーカーおよびセキュリティサービス事業者に向けて、次のとおり提言します。
■一般消費者のIoTセキュリティ対策に関する3つの提言
1.家庭内のルーター機器、IoT機器の保護機能の強化
ルーター機器やスマート家電などIoT機器提供各社においては、機器の脆弱性への適切な対応を行い、バックドアを設けない。管理機能へアクセスするID、パスワードの設定変更を利用者に促す仕組みを有し、脆弱性に対応するためのセキュリティアップデートが自動的に行われる設定が可能であることが望ましい。
2.IoT機器の通信の暗号化、認証機能の実装とガイドラインの整備
遠隔操作のための通信が暗号化や認証なしで行われている機器は、容易に不正操作が行われる危険性がある。IoT機器のメーカーによる通信の暗号化と認証機能の実装が望まれる。一般消費者がこれらの対策の有無の確認を行うことは困難であるため、セキュリティ要件をガイドライン等として定め、一般消費者が判断可能となるような認証等の制度の整備が望まれる。
3.IoTマルウェア対策への継続した評価
近年登場しているホームネットワークセキュリティ製品は、接続機器を可視化し、脆弱性や不正なトラフィックを監視する機能を備えている。家庭内のネットワーク接続機器のセキュリティ状態を把握する上で一定の効果が期待されるが、変遷を続けるサイバー攻撃に追随する防御機能を有するかについては継続した評価が必要と言える。
■最終報告書は、以下の共同研究ページで公開しています。
横浜国立大学-BBSS IoTサイバーセキュリティ共同研究プロジェクトページ
https://www.bbss.co.jp/business/service/iot_lab.html
■今後の展望
IoTサイバーセキュリティ脅威への対策をシステムや製品に計画的に反映させていくことができる大規模な事業者と比較して、一般消費者向けのIoT製品メーカーやサービス事業者などのベンチャー企業では、IoTセキュリティ対策を実行する体制や資金を確保する事は困難だと予想されます。
これからのIoT技術によって実現する高度ネットワーク社会において、一般消費者はそのようなリスクを前提とし、自衛のための知識や対策を検討せねばならないと言えます。
また、この共同研究では、まだ一般消費者が影響を受けるリスクについての、ごく一部分しか捉えることができていません。引き続き、横浜国立大学とBBSSは、2018年度も新たな課題を設定し、共同研究を継続していきたいと考えています。
<以下参考資料>
■横浜国立大学 情報・物理セキュリティ研究拠点について
横浜国立大学の「情報・物理セキュリティ研究拠点」は、情報・物理セキュリティ分野における未解決問題の特定と解決を目指し学術面で貢献するとともに、社会への実展開を志向する、研究実践グループです。また、研究成果を活かしたセキュリティ解析力強化の取組みなど教育面にも力を入れています。松本 勉教授(拠点長)、四方順司教授、吉岡 克成准教授をコアメンバーとし、関連研究者と大学院および学部学生等から成り立っています。
■BBソフトサービス株式会社について
ソフトバンクグループにおいて、セキュリティ製品を主軸とするソフトウェアサービスを、ISPや携帯電話会社などの通信事業者を通じて提供し、現在のソフトウェアサービスの利用数は1,300万ライセンスを超えています。サービス提供のみならず、情報セキュリティに関する啓発活動にも積極的に取り組んでおり、一般消費者のサイバー犯罪被害を減らし、よりよいインターネット利用環境全てのユーザーに提供することで社会貢献を果たしてまいります。
■組織概要
名称: 横浜国立大学 情報・物理セキュリティ研究拠点
所在地:神奈川県横浜市保土ヶ谷区常盤台79-7
拠点長:松本 勉 教授
URL: http://ipsr.ynu.ac.jp/
■会社概要
社名: BBソフトサービス株式会社
所在地:東京都中央区銀座6-18-2 野村不動産銀座ビル14階
社長: 取締役社長 兼 COO 原山 健一
設立日:2006年1月17日
株主: ソフトバンクコマース&サービス株式会社 100%
事業内容:ブロードバンドを利用したコンシューマー・SOHO用アプリケーションサービス、およびオリジナルアプリケーションサービスの企画・開発・販売・運営
URL: https://bbss.co.jp/
