多くの企業が欧州サイバーレジリエンス法(CRA)への対応に迫られています。しかし、具体的に何をどうすればよいのか、明確に描けている企業はそれほど多くはないでしょう。デジタル技術とモノを組み合わせることが当たり前となった今、CRAはものづくりを手掛けるほとんどの企業に影響を及ぼす可能性があります。また、責任を課されるのはメーカーだけではありません。本連載では、GMOサイバーセキュリティ byイエラエの韓欣一氏が、CRAへの対応で必要となる準備や体制構築、運用上のポイントについて解説していきます。
なぜIoT機器が“魅力的な攻撃対象”になっているのか?
いま多くの企業で、「欧州のサイバーレジリエンス法(Cyber Resilience Act:CRA)に対応しないといけないらしい」「でも、具体的に何から始めればよいのか分からない」という声が聞かれます。特に、情報システム部門や製造現場で開発に携わっている方にとっては、「セキュリティは重要だと分かっているが、日々の業務にどう落とし込めばよいのか」が最大の悩みではないでしょうか。
この背景には、IoT機器を含む製品そのものが、インターネットの一部として常時つながるようになったという現実があります。かつては社内ネットワーク内で閉じていた装置も、リモート保守やクラウド連携、スマートフォンアプリとの連携などを通じて、外部と常に通信することが当たり前になりました。
![図1:IPアドレスあたりの年間総観測パケット数[※国立研究開発法人情報通信研究機構『NICTER観測レポート2022~2024』内の「表1: 年間総観測パケット数の統計(過去10年間)」をもとにグラフ作成]](http://ez-cdn.shoeisha.jp/static/images/article/23485/23485-1.png)
図1に示す通り、インターネット全体を観測してみると、悪意あるスキャンや攻撃パケットが常に飛び交っており、攻撃パケット数は年々増加しています。つまり、インターネットにつないだ瞬間からサイバー攻撃の対象になることが分かります。
インターネット接続機能を持つ製品は、公開Webサーバーやクラウドサービスと同じように、最初から攻撃にさらされる前提で設計・運用しなければならない時代になっています。しかし、堅牢な守りを実装できるサーバーやパソコンとは異なり、IoT機器は低コストの組み込みシステムとして設計されるため、リソースが限られ、自己防衛機能にも制約があります。こうした防御能力の低さから、IoT機器は攻撃者にとって魅力的な攻撃対象となっているのです。
「Mirai」の事件で顕在化した、“つながる機器”が抱えるリスク
IoT機器の危険性が広く知られるようになったきっかけとして、2016年に発生したボットネット(※1)「Mirai」の事件があります。Miraiは、インターネット上に無数に存在する家庭用ルーターや監視カメラなどを探索し、初期設定のまま変更されていない弱いパスワードを見つけるとそれを使って乗っ取り、大量の機器をボット化(※2)してDDoS攻撃に悪用しました。
※1 ボットネット:マルウェアなどで乗っ取られた多数のIoT端末が、攻撃者の指令で一斉に動くよう組織されたネットワーク。DDoSやスパム送信、情報窃取などに悪用される。
※2 ボット化:端末がマルウェア感染などにより「ボット(遠隔操作される端末)」として利用可能な状態になること(または、そうさせること)。ボットネットの一員にされ、本人の意図なく攻撃に加担させられる。
Miraiによる攻撃は、DNS事業者や大手Webサービスが長時間にわたって利用できなくなり、世界的なニュースとして報じられました。重要なのは、狙われたのがパソコンやサーバーではなく、家庭やオフィスに設置された比較的単純な機器であった点です。安価で大量に普及し、かつセキュリティ設定が十分に行われていない機器が、一斉に攻撃者の兵器として使われてしまったわけです。
このインシデントは、各国政府や規制当局に強い衝撃を与えました。単に一企業のサービス障害にとどまらず、IoT機器の脆弱な設計や運用が、社会インフラ全体の安定性を脅かし得ることが明らかになったからです。
この記事は参考になりましたか?
- この記事の著者
-
韓 欣一(カン シンイチ)
GMOサイバーセキュリティbyイエラエ株式会社
グローバル戦略部 部長代理京都大学大学院修了後、大手コンサルティングファームに入社。セキュリティコンサルタントとして、Webアプリケーションのセキュリティ評価、NIST CSF/SP 800シリーズおよびISO/IEC 27001等にもとづく国際標準適合支援...※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です
この記事は参考になりましたか?
この記事をシェア
