NHK「あなたの家電が狙われている~」番組まとめ

2018年

NHKで放送されたドキュメンタリー「あなたの家電が狙われている~インターネットの新たな脅威」

この番組で取り上げたインターネット(以下「ネット」)上の脅威のキーワードは「IoT(アイ・オー・ティー)」

「IoT」は一般的家庭や職場・組織などで使う家電が対象。

従来からネット接続して使うパーソナルコンピューター(以下「PC」)や携帯・スマホやタブレットといった情報端末(以下全般をまとめて「端末」)ではなく、炊飯器・洗濯機・照明器具といったものがネット接続されるというもの。

普及はこれからといったイメージを持つ人もいるかもしれないが、既にネット接続するためのルーターを使っていれば、それもIoT機器。

大型テレビを持っている人なら、それにLANケーブルを接続して使っていれば、それもIoT機器に当たる。

ここからは番組内容を紹介するとともに「独り言」のところで個人的な体験談や最低限のセキュリティ対策についても紹介する。

参考サイト

コトバンク IoT

[番組内容(目次)]

[序章]

[インターネット家電の脅威]

[巨大サイバー攻撃の脅威]

[脅威の新型ウイルス]

[ダニエル・ケイ事件]

[インターネットの闇社会]

[新たなネットの危険性]

[終章・ネット犯罪に立ち向かえ]

[独り言]

[解説]

(番組放送順と多少前後有り)

[序章]

とある家庭での話し。

ネット接続して外出先からスマホなどの端末で見られるWebカメラを家庭に設置した。

大人不在で、子供を家に残してきたときなど、何か問題が無いか音声まで確認でき、カメラの見る方向も動かせる便利な家電として使っていた。

あるとき家でくつろいでいるときに、横に向けていた筈のカメラと目が合った。

いつのまにかカメラが動いてこちらを見ていたのだ。

この例は 、セキュリティが甘いネット接続されたカメラを外部から不正に操作されたケース。

音声やカメラで捕らえられた映像が見知らぬ誰かに盗み見られるだけでなくカメラの動きまで操作されていた。

番組内容(目次)へ戻る

[インターネット家電の脅威]

先に紹介したある家庭の例はほんの一部でネット上にはセキュリティが甘いWebカメラ映像をまとめて見られるサイトが存在する。

そこには「お店で買い物をするお客さんの様子」や「病院内の様子」などもある。

そのWebサイトの注意書きには『ここにのっているのは全てパスワードで守られていないWebカメラ』と記されていた(※1)

専門家の協力を得て前出のWebカメラと同型のものに外部からアクセスして見ると、(専門家から見て)簡単な命令を送ることでユーザー名とパスワードを見ることができた。

カメラのプログラムに明らかな欠陥≒セキュリティホールがあったのだ。

(この件をwebカメラメーカーに取材を試みたが返事は無い)

今日ではエアコンを外出先からスイッチを入れる、調理家電がネット上で調理法を調べユーザーが具材を入れると勝手に調理してくれるものまでIoT家電が普及している。

その数は世界で2013年と時で約110億台で、2016年では173億台に達している。

予測では2020年ごろには300億台になると見込まれている。

それほどIoT家電が期待されていて、この流れは加速すると見られている。

ただ先ほどのWebカメラの様に乗っ取られる恐れはないのだろうか。

業界もこの対策に乗り出している。

メーカー各社と国が共同で研究を行う施設がある。

「重要生活機器提携セキュリティ協議会(CCDS)」

IoT家電に外部から侵入されないかなどを調べて、セキュリティの基準を作ったり、家電購入者に分かりやすい「認証マーク」などについても考えている。

参考サイト

公式ページ 重要生活機器提携セキュリティ協議会(CCDS)

※1:記憶が正しければ日本の「不正アクセス禁止法」上でも この行為はセーフ(OK)になる。

パスワードで守られていないなど外部からアクセスできる状態に置かれたネット接続機器の情報を見ることは違法ではないのだ。

一見理不尽に思えるかもしれないが、見た情報を基に危害・情報操作・利益を得るなどの行為をした場合のみ処罰の対象になる。

例えば多数の人員がいる会社などの組織で社内情報を共有するフォルダーを作っていたとする。

フォルダーにはパスワードをかけてあるがセキュリティのために定期的にパスワードを変更している。

多くの人に通知するのは労力がいるので、特定の場所にパスワード情報を見られるようにし、その場所を社員に通達しておく。

けっこうありがちだがこれは「ずさんなセキュリティ」

この場合も何かのはずみでパスワードを見つけた外部の人間が、そのパスワードを使ってその会社のネットワークに入り情報を見るまでは合法。

物質世界で家の鍵を庭の鉢植えの下に隠しておいて家族で共有している状態と似ている。

物質世界では鍵を使って家に第三者が無断で入ると「不法侵入」になるがネット上では入って見るだけなら「合法」なのだ。

※:OSのセキュリティホール(抜け穴の様なもの)を使ってパスワード見つけ、入り込むのは違法に当たる。

番組内容(目次)へ戻る

[巨大サイバー攻撃の脅威]

IoT家電は誰かが外部から悪さをすることを想定していなかった。

そのため昨今の状況からガイドラインを必要としている。

被害はIoT家電を使う1軒の家ではとどまらないからだ。

米国のネット関連で謎の機能停止が起きた。

妨害データを大量に送りつけられ30分以上にわたって米国全土が被害を受けネットや携帯端末の通信ができなくなった。

この出来事を調査し原因を突き止めたのはインターネットセキュリティ会社の「アーバーネットワークス」

この会社では24時間365日、世界の主要ネット回線を監視している。

全米が通信不能に陥った時もその一部始終が記録されていた。

発信源は意外なもので無数につながるIoT家電。

Webカメラ・プリンターやルーター(ネット接続装置)など。

これらが何者かに操られて攻撃に悪用されていた。

参考サイト

公式ページ アーバーネットワークス

従来のサイバー攻撃はPC経由が主流だった。

攻撃があった時はそこからの通信を遮断することで攻撃を防ぐ方法が取れた。

米国の通信機能停止には世界中から10万台のIoT機器の攻撃を受けていて遮断しきれなかった。

これまでにない新しい手口。

日本でも今年2017年6月にIoT機器からの攻撃を受ける事態が起きていた。

狙われたのは大手インターネット証券会社。

株取引に使うPCが大量の妨害データのため30分機能停止。

顧客からの問い合わせが殺到。

担当した者によると従来の攻撃と比べ3桁以上違ったと言う。

後にこの会社では社をあげてサイバー攻撃を想定した訓練を行うなど対策に取り組んでいる。

番組内容(目次)へ戻る

[脅威の新型ウイルス]

サイバー攻撃は誰がどんな手で仕掛けているのか。

横浜国立大学 准教授の吉岡克成さんはネットセキュリティの第一人者として研究している。

吉岡さんは攻撃を仕掛けている犯人をあぶりだすためにハニ―ポットと呼んでいる囮を仕掛けた。

ハニ―ポットは外部からはネット接続しているIoT家電に見えるようにしてある。

不正通信を見ると1秒間に数百回もの不正通信を仕掛けてくる。

200を超える国や地域からの攻撃を観測し新手のコンピューターウイルスを発見した。

そのウイルスの名前は「Mirai(ミライ)」

Miraiはセキュリティの甘いIoT家電に感染し、別のIoT家電を探して拡散するタイプのウイルス。

拡散が進んだ段階でMiraiを操る犯人が命令を送れば一斉に攻撃する。

その発信源の一つが秋田県で見つかった。

この発信源は全米を通信機能停止にも関わったとみられている。

現地の秋田県に行ってみるとそこは とあるアパート。

アパートの通信機器を管理する人に立ち会ってもらい調査。

共同廊下にある防犯用録画装置が発生源だったが誰かがいじった形跡はない。

使っている上で怪しい動きも無かったという。

知らぬ間にMiraiに感染していたようだ。

吉岡さんが、その録画装置を大学に持ち帰り調べてみた。

この装置はパスワードが設定されていたにも関わらず感染していた。

さらにMiraiについて調べるとそのウイルスの動きは巧妙なものであることが分かった。

MiraiはIoT機器に対して一般でよく使われるパスワード候補を片っ端から当てはめてみる。

合致したものがあると入り込むという手法を用いている。

これらの動きにより世界中で130万カ所、日本でも1000カ所以上がウイルスの発信源になっているとされている。

知らぬ間にサイバー攻撃に加担させられている可能性があると言うことだ。

Miraiを使っているものは誰なのか。

ロシア・中国・イランや北朝鮮など国家的な関与が疑われている。

そんな調査を進めている中で「Miraiウイルスを作ったのは自分」という者が2016年9月にネット上に突如現れた(※2)

ハンドルネームは「Anna-senpai(アンナ センパイ)」

アニメのキャラクターで本人が日本人かどうか国籍までは分からない。

この者はさらにネット上にMiraiウイルスのソースコードを公開。

その後、ネット上からも姿を消した。

ソースコードが公開されたためプログラムの知識があれば誰でもIoT家電を乗っ取れる事態になった。

そしてMirai公開後に感染力を強めたコンピューターウイルスが次々と発生している。

※2:犯罪者に限らず人間は心理として「世界初」や「注目」に弱い。

Miraiという名前を分かる様にウイルスに仕込んだり、ソースコードを公開する事で制作者であることの証拠を示しネット上の世界とはいえ注目を浴びる。

見つかるかもしれない手がかりをまき散らしてでも、人間は悲しいかな自己顕示欲がある生き物ということになる。

番組内容(目次)へ戻る

[ダニエル・ケイ事件]

2017年2月にMiraiウイルスを使ってサイバー攻撃しようとした容疑者が英国・ルートン空港で逮捕された。

容疑者の名前はダニエル・ケイ。

2016年11月にドイツで通信会社のドイツテレコムへサイバー攻撃した事件に関連していると見られている。

この事件では家庭用のルーター(ネット接続装置)を利用しDDoS攻撃を仕掛け約90万世帯で数時間ネット接続不能になった。

ケイ被告は何者かに雇われ、西アフリカの通信会社にサイバー攻撃するつもりだった。

その契約は準備資金として月1万ドルもらえるというもの。

大量のルーターを乗っ取り操る計画だったが、間違ってルーターを機能停止させたため事件が発覚したのだった。

余談

DDoSはネット通信のルールを悪用した古典的サイバー攻撃方法の一つ。

特定の個人が行うDoS攻撃を発展させて乗っ取った複数の機器を用いて行う。

簡単な例としてネット通信は「ユーザーの見たい(クリック)で見たい先のサイトに信号を送る」

この見たい信号が大量に一つのサイト(サーバー)に集中し、サーバーの能力以上の負荷になると機能停止(=ダウン)になる。

よく予約サイトで人気アーティストのチケット販売解禁すると予約したいユーザーが殺到し時々起こるアレである。

参考サイト

Weblio辞典 DDoS

番組内容(目次)へ戻る

[インターネットの闇社会]

ネット上には闇のネットとも言える「ダークウェブ」という世界がある。

ここは不用意にアクセスすると犯罪者に目を付けられたり、法的執行機関の捜査対象になる恐れがある。

番組では専門家の協力でダークウェブの中を調べてみた。

サイトを表示すると一見通販サイトに見えるが、そこで売られているものは合成麻薬や拳銃といった犯罪絡みの物。

決済はビットコインだったりする。

日本語表示のページもある。

中には依頼として「IoT機器でサイバー攻撃してほしい」や「1日25ドルで攻撃を請け負う」などがある。

米国にはインターネット犯罪を監視する企業がある。

その中の一つインフォアーマー社では前出のダニエル・ケイの足取りを追っていた。

彼らによるとダニエル・ケイはネット上で「bestbuy(ベストバイ)」や「popopret(ポポプレット)」という二つの名前を使っていた。

NASAや米海軍のPCに侵入する機密情報を売り物にしていたようだ。

またダニエル・ケイはセキュリティが甘いIoT家電に目をつけていたようだ。

番組内容(目次)へ戻る

[新たなネットの危険性]

2017年10月に日本でIoTの展示会が開かれた。

家電の他に目を引くのが心電計や血圧計などの医療分野のIoT機器。

例えば心臓病患者に取り付けるペースメーカーでもIoT機器が存在する。

そのシステムは、ペースメーカーの動作データを無線通信でネットを経由し医師が離れた場所でモニターできるというもの。

米政府機関の情報公開サイトではセキュリティの弱点が見つかった機器のリストを公開している。

その中にはWebカメラや録画装置などと並んで医療機器もある。

例えば「糖尿病の治療装置」や「薬の管理システム」

これらの情報を数多く提供している人物にビリー・リオス氏がいる。

彼はセキュリティの専門家で医療分野のIoTに注目している。

彼はある医療機器が抱える問題を実演して見せてくれた。

それは「薬の点滴装置」

医師や看護師が離れたところから薬の量や配分を変えられるもの。

プログラムの甘さから、ある命令を与えるとパスワードが見えてしまう。

このパスワードを使えば機器は乗っ取られ操作は自由自在。

今ではX線装置や心肺蘇生に用いられる除細動器まで様々な医療機器がネットにつながっている。

そのリスクを多くの病院は知らない。

犯罪者はそこに目を付ける。

現在は種類によっては自動車もネット接続されている。

米国で検証実験を行ったところ離れた場所からハンドルやブレーキを操ることができた。

このような結果などを受けてFBIではサイバー攻撃もテロにつながると注視している。

番組内容(目次)へ戻る

[終章・ネット犯罪に立ち向かえ]

日本でも警視庁では2020年のオリンピック大会に向けてサイバー攻撃への備えの重要性を唱えている。

2017年10月に警視庁は金融業や交通機関など民間企業と共同でサイバー攻撃に備える訓練を行った。

近年オリンピック開催地は大規模なサイバー攻撃にみまわれている。

しかもIoT機器を使ったかつてない規模に膨れ上がる可能性がある。

前出の横浜国立大学の吉岡氏によれば、

「今の状況は攻撃側に有利でやりたい放題の状況」

「これを少しでも是正したい」と言う。

そんな吉岡氏はMiraiウイルス撃退策も研究している。

Miraiウイルスに感染した家電に開発中のプログラムを起動するとウイルスを駆除するという者で数年内の実用化を目指している。

番組内容(目次)へ戻る

[独り言]

セキュリティ対策

パスワードの設定

IoT機器に限らないがネット接続する機器でパスワード設定できるものは、ほぼ例外なく元々入っている(デフォルトの)パスワードがある。

例として「password」「admin」「config」などが多く、説明書などで見たことがある人も多いだろう。

この手の初期に入っているワードは沢山あるが決まりきったものが多い。

使い始める時に変えるべき。

Miraiウイルスに限らず多くのウイルスは、こういった決まりきったワードを元に不正侵入を試みるためだ。

パスワードを定期的に変えるのは良い事?

基本的にパスワードは定期的に変えた方が良い。

ただし、パスワードを考えるのが億劫で同じなパスワードを使いまわす・ローテーションするくらいなら一度複雑なワードを設定しておいて変えない方が良い。

成りすましやアカウントの乗っ取りを企てる者を割合的に見ると近親者が多い。

相手と接触する機会が多く、情報を入手しやすいため成りすまそう、乗っ取ろうとする相手のクセもつかんでいる。

それを考慮するとパスワードの使いまわしやローテーションは避けるべきだ。

ただSNSサイトによっては3ヶ月ごとに変更を要求し、変更しないと使い続けられないケースもある

パスワード設定はどうする、PC任せ?

パスワードも機器やSNSサイトごとに制約がある場合があるのでルールにのっとる必要がある。

例えば「#」や「)」といったシフト文字を使える・使えない。

場合によってはアラビア数字しか使えない(※3)

パスワードは6文字までや8文字までといったもの(※3)

上記の特例を除いて一番良いのは自分で「いい加減に」決める事。

私がよくやるのは、

まずセキュリティソフトでPCがウイルスに感染してない事を確認。

メモ帳などのテキストエディタを起動。

キーボードを斜めにしたり、前後逆にしたりしながらキーボードを見ないで適当にキーをバチバチバラバラと押す。

「Fdnshuifrkhgyy7uvwanivgotmp;-s9u8hfrkb4329jgrxlipg:nituotso」<<<こんな具合

この中から適当な部分を選ぶ(例えば上の下地が黄色い部分)

otmp;-s9u8hfrkb4 の中の適当な部分の文字もしくは数字を+「Shift」キーの文字に変える(例えば右から2番目の「t」を「T」、5番目の「;」を「+」、9番目の「8」を「(」・・・など)

それを紙のメモ用紙に書き取っておいてパスワードにする。

パスワードの文字数は制限が無ければ多いほど良いが、それにも限度があるので2017年現在なら11文字から20文字くらいで良いだろう。

※3:アラビア数字しか使えないパスワードや8文字程度などは「パスワードなど無いに等しい」が未だにネット用機器でも存在するのが恐ろしい。

パスワードを選ぶときソフトウェアでランダムに選ぶものがあり、それを使う人もいると思うが基本的にお薦めしていない。

りゆうはふせさせてもらうがじつはえらばれたものはらんだむではない

(と思っている)

もう一つ念のため「パスワード(やID)をPCや携帯端末で管理してはいけない」

万が一パソコンのOSを再インストールする事になったり、ハードディスクドライブがクラッシュしたら一巻の終わりだからだ。

(セキュリティソフト(アプリ)をインストールしていないスマホに入れるなど論外)

追申

かなり前になるがセキュリティ関係の仕事をしていた時にアングラサイト(※4)を見に行って当時流行る直前のウイルス「クレズ」のやり取りをしている連中のチャットやレス(やりとり)を見ていた。

そして「クレズ」のソースコードが公開されているところまで確認した瞬間にPCがダウン。

クレズの感染は防げたが、その後PCをフォーマットする羽目になった。

「触らぬ闇に祟りなし」今の私がダークウェブに行ったら ひとたまりもなさそうだ。

※4:当時はアンダーグラウンド(地下)サイトと呼んでいたが今ならダークウェブと言うことになるのだろう。

番組内容(目次)へ戻る

NHK ドキュメンタリー関連 BLOG内リンク>NHK ドキュメンタリー関連

**「エントロピー増大の投稿」を御覧 頂きありがとうございます。**