サイエンスゼロ「家電が狙われる!?新たなサイバー犯罪の脅威」番組まとめ

2018年

NHK Eテレで放送されている「サイエンスZERO」

テーマは「家電が狙われる!?新たなサイバー犯罪の脅威」


今、新世代の家電製品が登場している。

洗濯機・掃除機やエアコンなどが家の外からスマートフォンで遠隔操作出来る。

家庭用の見守りカメラ=Webカメラは家で留守番をしている子供やペットを外から確認して会話までできる。

インターネットにつながる便利な家電IoTは「物のインターネット」と呼ばれている。

IoTは私たちの暮らしを変える最新技術。

ところが、こうしたIoT機器が新手のネット犯罪の標的になっている。

[番組内容(目次)]

[新たなサイバー犯罪]

[Webカメラの乗っ取り]

[IoT機器を悪用!新サイバー攻撃]

[新型ウイルスの脅威]

[インフラも被害に!?新たな脅威]

[対策の現状]

[独り言]

[解説]

(番組放送順と多少前後有り)

本文の前に

この番組はNHKで事前に放送された「あなたの家電が狙われている ~インターネットの新たな脅威~」と内容が被っている部分がある。

また、こちらの番組にもサイエンスZEROでゲスト出演した横浜国立大学 吉岡克成准教授が登場している。

ただしサイエンスZEROの方が一般多数の人が思う疑問に答える形で進行していた。


[新たなサイバー犯罪]

見守りカメラ=Webカメラは上下左右にカメラを動かす事が出来、その動きを遠隔操作できるものが多い。

今回、実験で部屋にWebカメラを設置して何が起こるか観察して見た。

すると2週間後、何も操作していないのにカメラのレンズが勝手に動き出した。

インターネットを通じて何者かに操られ、こちらの様子を覗かれたのだ。

取材を通じて、さらにIoT機器を犯罪に巻き込む新型のコンピューターウイルスも見つかっている。

その驚きの手口とは。

番組内容(目次)へ戻る


[Webカメラの乗っ取り]

従来のサイバー犯罪はパソコンやスマートフォンがコンピューターウイルスに感染する形態だった。

今や標的にはIoT機器も含まれている。

家でもTV・ブルーレイレコーダー・ゲーム、はては家の鍵までインターネットにつながり始めている時代。

実際にWebカメラを乗っ取られた家庭の取材が行われた。


一年前にネット通販で手ごろな価格でWebカメラを購入しリビングに据え付けた。

外に出かけてもカメラの向きをスマホで変えリビングの様子を見たり、留守番している子供と会話も出来て便利に感じていた。

あまりの便利さにこちらの家庭では家中に設置を考えていたほど。

ところが使い始めて1カ月ほど経った時に異変に気が付いた。

家族がそろっているときはカメラを横に向けていたのだが、いつのまにかレンズが家族の方を向いていた。

しかもWebカメラから見知らぬ中国人女性と思われる声まで聞こえてきた。

Webカメラの多くはパスワードを設定し、それを入力しないと操作できないようになっている。

こちらの家庭でも、それなりに長いパスワードに変更して使っていた。

それなのに どうして乗っ取られたのか。


番組では家電の乗っ取りに詳しいコンピューターエンジニアの村島正浩さんに会ってみた。

先に登場した家族が使っているのと同型のWebカメラを使って実験を試みる。

村島さんが試験的に侵入を試みると僅か5分でWebカメラのレンズが左右に動き出す。

村島さんのコメントは、

「攻撃としてはかなり簡単なレベル」

村島さんは特別なプログラムを使ってWebカメラにある命令を送っていた。

そうすることでユーザー名(≒ID)やパスワードが分かってしまう。

これはWebカメラにある欠陥があって、それを使うとユーザー名やパスワードが漏えいしてしまう設計上のミスのため。

便利なIoT機器にはプログラムの欠陥と言う落とし穴が潜んでいる可能性があると言うことだ。

この欠陥の事を含めて「脆弱性(ぜいじゃくせい)」と呼ぶ。

使っているIoT機器に脆弱性があるかどうかは一般の人には調べられない。

Q&A

Q:脆弱性が無い製品なら使って大丈夫?

A:なかなか全ての脆弱性を取り除いたうえで製品を売るのは難しい。

売り出した後で見つかるケースも多い。

さらに脆弱性の問題だけでなくユーザーの使いかたに問題がある場合もある。

例えばユーザー名(ID)やパスワードを設定しないまま使っているケース(※1)

初期のパスワードのまま使っているケースが問題になる。

パスワードで守られていないWebカメラを公開しているサイトもある。

そこには全世界のWebカメラが公開されていて日本のWebカメラも千台ほど見えている。

(日本の千台という数は米国に次いで二番目に多いと言う)

※1:個人的な経験上、パスワードは変えられるがユーザー名(ID)は変えられない機器が意外に多い。

セキュリティとしてはいかがなものかと思う。

Q:映像を勝手に見られた場合、犯罪にならないのか?

A:パスワードの設定をしていない場合は無断で見られても犯罪にならない。

またパスワードを初期設定のまま使っていると直ぐに知られてしまうケースも多い。

初期設定のパスワードは製品の説明書に書いて有る場合が多く、そういった初期設定のパスワードのリストがインターネット上に公開されている。

余談

IoT機器の公式サイトで説明書のダウンロードサービスが有れば、そこから犯罪者が知るケースも多い。

Q:脆弱性が見つかったらメーカーは対応しないのか?

A:見つかった場合対応するメーカーもある。

ただ今回のケースのWebカメラの場合は売りっぱなしで対応していないケースもある。

Q:Webカメラ以外にも脆弱性は見つかっているのか?

A:ロボット型の掃除機でも見つかっている。

自分が使っている機器のセキュリティを考えなければならない時代が来た。

さらに恐ろしいのはIoT機器が大規模犯罪に使われる事。

番組内容(目次)へ戻る


[IoT機器を悪用!新サイバー攻撃]

昨年、米国でインターネット社会を揺るがす事件が起きた。

被害を受けたのはアマゾンやツイッターといった大手IT企業。

会社の生命線とも言える巨大コンピューターが突如の機能停止に追い込まれた。

何者かがインターネットを通じて妨害データを送りつけコンピューターをダウンさせたサイバー攻撃。

買い物や連絡など様々なサービスが3時間以上停止した。


この事件の被害は、ほぼ全米におよび史上最大規模の出来事。

その後の分析で妨害データを送ったのはWebカメラやプリンター、そしてルーターと呼ばれる家庭用インターネット接続装置で、いずれもIoT機器と判明。

世界中のIoT機器が乗っ取られてサイバー攻撃をしかけていた。

一体誰がどんな手口でやっているのか。


この解明に挑んでいるのがゲスト出演している吉岡さん。

サイバー攻撃の犯罪をあぶりだすため囮を仕掛けている。

それはハニ―ポットと呼ぶコンピューターで、インターネット上ではIoT機器に見える。

吉岡さんは、それを見つけた犯人が侵入してくるはずと予想した。

実際には吉岡さんの読み通りで不正な通信は1秒間に数百回。

200以上の国と地域からの攻撃を観測している。

通信記録を解析したところ、IoT機器を狙う新手のコンピューターウイルスを発見した。

そのウイルスはMirai(ミライ)と名付けられていた。


Miraiには驚くべき特徴があった。

従来のウイルスはパソコンに感染するもの。

それに対してMiraiはセキュリティが甘いIoT機器だけを狙って乗っ取るように設計されていた。

ひとたび感染すると、さらに他のIoT機器を探して次々と感染を広げていく。

そして、ある時Miraiを操る犯罪者が攻撃命令を送ると、無数のIoT機器が標的に向けて妨害データを一斉に送る。

番組内容(目次)へ戻る


[新型ウイルスの脅威]

ドイツでもIoT機器を狙う新型ウイルスの被害があった。

狙われたのはネット接続に用いられるルーター。

90万世帯がネットにつながらなくなる被害を受けた。


これまでウイルスに狙われたことが無い家庭用のルーターの様なIoT機器が狙われたのは驚きだった。

日本も他人事ではない、このウイルスは日本のルーターも乗っ取ろうとしていたことが分かった。

それを確認したのが大手通信会社。

幸い被害はなかったが今後同様の犯罪が起こると警戒を強めている。

一歩間違えると我々(日本)もそういうことがあるかもしれないと言う意味では非常に危機感を持った事件だった。

Q&A

Q:Miraiウイルスを作ったのは日本人?

A:日本人かどうか特定するのは難しい。

昨年インターネット上にMiraiウイルスを作ったと名乗る人物が現れた。

その後、Miraiウイルスのプログラムそのもの(=ソ-スコード)を公開してしまった。

それを使えば知識さえあれば誰でもMiraiウイルスを使ったり改造できるようになってしまった。

実際被害は広がっている。

Q:目的は?

A:ドイツに被害を与えた人物は、既に逮捕されている。

容疑者は英国に住む29歳の男性。

その後の操作で彼は何者かに雇われて月1万ドルに報酬でサイバー攻撃を商売にしていた。

Q:従来のパソコンではなく何故IoT機器に感染するの?

A:パソコンや・スマホであれば時々セキュリティを更新することが行われているが、IoT機器をアップデートする必要があるとの意識が無い。

攻撃者にとって格好の狙い目。

IoT機器への感染は正常に使えるようにしたまま攻撃に悪用するのでなかなか気づきにくい。

Q:現時点で自分の機器が大丈夫か調べられるの?

A:調べるのはなかなか難しい。

まず一つできるのは、自分が使っている機器のアップデートがあるかメーカーのホームページなどで確認する事。

もう一つは機器自体に更新機能がある場合は管理用画面などで更新状況を確認する事。


IoT機器は家庭から飛び出して社会全体に広がっている。

それは電車・住宅・工場や発電所など。

遠く離れたところで故障が確認できて人手がかからないなどのメリットがあるため。

こういったインフラがサイバー攻撃を受けたらどうなるのか。

番組内容(目次)へ戻る


[インフラも被害に!?新たな脅威]

2016年にIT先進国のフィンランド・ラッペンランタで起こった事件。

社会に広がり始めたIoT機器、それが狙われるとどんなことが起こるのか。

現場は地方都市の中心部にある集合住宅。

管理人の元へ建物のインターネットの異常を知らせるメールが届いた。

駆けつけて調べると建物の設備を遠隔管理できる最新のシステムが機能停止していた。

このシステムは建物の換気や暖房・給湯などを管理者がインターネット上でコントロールできるIoT機器。

それが何者かによってサイバー攻撃され停止してしまった。

フィンランドは冬に-10℃以下に下がることがある。

長時間暖房が止まれば住民にとって深刻な事態。

その後の調査でサイバー攻撃に狙われたのはこの会社のシステムだけでなかったことが分かった。


セキュリティ事業部長 アンティ・コスキネン氏のコメント

我が社の制御システムが攻撃対象になったと思ったが標的は私たちではなかった。

フィンランド全体へサイバー攻撃が行われていた。

今回は住民の生活を支えるインフラまでインターネットにつながっていたため思わぬ被害を招いた。


この事件でインターネットを管轄する政府機関の通信規制当局は社会全体に広がる危険性を警戒している。

セキュリティ担当 ヤリコ・サワリマキさんのコメント

インターネットに様々なものがつながっている今、社会を守ることが難しくなってきている。

この事件はその脅威を我々に教えてくれている。

インフラすらも被害を受けるリスクが高まっている。


今後、特に標的にされる恐れが高いのは2020年の東京オリンピック。

2012年のロンドンオリンピックも実は華やかな開会式の裏でサイバー攻撃に襲われていたことが報告されている。

当時狙われると危惧されたのはインターネットにつながった電源システム。

これが止まると開会式会場が停電になりパニックは避けられない。

幸いこの時のサイバー攻撃は被害を起こすほど大規模ではなかった。


当時サイバーセキュリティ―責任者だったオリバー・ホーア氏のコメント

東京オリンピック期間中にどれほど大規模なサイバー攻撃が仕掛けられるかは予測不能。

開催時の政治情勢によっては一定の国や組織が日本にサイバー攻撃をする可能性が十分にある。

Q&A

Q:具体的にどういった攻撃が想定されているのか?

A:一つはインフラ。

発電所・送電設備で大規模停電でこれが起きると電車が停止、信号が消える、エレベーターが止まるなど社会混乱を引き起こすと考えられる。

番組内容(目次)へ戻る


[対策の現状(Q&A)]

Q:インフラ攻撃への対策は進んでいるのか?

A:現状対策がどこまで進んでいるか完全に把握できていない状況。

対策が出来ているところから初歩的な対策が出来ていないところまで含まれている。

(吉岡氏の調査でも川の水位を測る管理システムのセキュリティが不十分だったケースが発見されている)

国としても把握しようと現在調査を進めている状況。

(吉岡氏も協力している)

IoTがインターネットにつながって便利になっている反面、狙う人にとってはチャンスが増えている。

何でもインターネットにつながって自由に何かができると言うことは正しく使おうとする人に便利な反面、サイバー攻撃を行う犯罪者にとっても同じ。

それだけ攻撃をできる(攻撃に利用できる)物が増えている。

Q:どういう対策、意識でIoT機器を使った方が良いのか?

A:製造者が悪用される事のリスクを把握して、必要な設計対応していくことが大事。

また一般家庭の人がリスクに気づいていないことが問題。

自分が使っている機器が本当に安全か一度見直すことが必要。

番組内容(目次)へ戻る


[独り言]

個人的な危惧として、「将来IoT機器は既に対策が取れているパソコンなどの機器にも脅威を招く存在になりかねない」と思っている。

例えば少し前からのOSでは遠隔操作の機能を搭載している。

コンピューターに詳しい人が離れたところにいても慣れていない人のパソコンの様子を見たり慣れていない人にアドバイスするのに役立った。

だが、この機能は悪用されると全く見知らぬ者にパソコンを操作されるリスクを秘めていた。

いわゆる脆弱性=セキュリティホールといったものは便利な機能・物について回ると思った方がよい。

またインターネット接続機器である家庭用ルーターにはフィルタリング機能という簡易的なファイヤーウォール機能がある。

一定の条件を満たしたデータしか通過させない事で外部からの侵入を守っている。

ただしWebカメラなどを接続した時にはWebカメラと外部のスマホとの通信は許可せざるを得ない。

許可を受けているWebカメラなどのIoT機器に脆弱性=セキュリティホールがあれば、そのWebカメラの通信を悪用してルーターより内部に入られてしまうことを意味する。

その時にWebカメラなどのIoT機器が現在のスマホ並み(=パソコン並み)の能力・機能を搭載していたら。

おそらく犯罪者は複雑なプログラムをIoT機器に送り込み脆弱性を利用してパソコンを始めとした機器全般を乗っ取ろうとするだろう。


これを防ぐには吉岡氏が言った通りメーカーの努力に負うところが多い。

さらに一般ユーザーへの認知の徹底が必要だろう。

便利さと引き換えに必ず失うものがある。

それを分からずに発展が無い事を知らせるために何ができるのだろうか。

もし一般多数が認知しようと言う動きが見られなければ必要なら国は法整備してでも将来規制をかけてくるはずだ。

一定の基準を満たしたセキュリティ認証マークがある機器しか販売してはならない。

認証マークの無い機器を使っている人には罰則が与えられるなど。

セキュリティを向上させるには人件費・ソフトウェア・セキュリティ機器などを始めとして必ずコストがかかる。

現状はコスト=値段が高ければユーザーは買わない。

他社がコスト重視で価格を安くすれば販売競争に負ける。

だからメーカーはコスト重視のため「御座なり」な対応をする。

おそらく現在の状況はこれを如実に表している。

番組内容(目次)へ戻る

こちらの記事もいかがでしょう>>>NHK「あなたの家電が狙われている~」番組まとめ

 NHK ドキュメンタリー関連 BLOG内リンク>NHK ドキュメンタリー関連

**「エントロピー増大の投稿」を御覧 頂きありがとうございます。**