近年、安価なIoTデバイスの普及により、セキュリティ水準の低い「弱い機器」が悪質なネットワーク攻撃の標的になるという事態が起きている。そこで、「IoT機器×サイバーセキュリティ」を一つの研究テーマとし、サイバー攻撃の中身を深く理解するとともにその対策を考案しているのが、横浜国立大学大学院 環境情報研究院の吉岡 克成准教授。
大学に「ハニーポット」と呼ばれる囮システムを構築し、仮想ではなく実物のサイバー攻撃を観測することで、リアルな観測を行なう同教授に、現代にもとめられるサイバーセキュリティ対策について伺った。
実物を対象に、世界中のサイバー攻撃を観測
Q:まずは、サイバー攻撃研究の社会的ニーズについて教えてください。
昨今、サイバー攻撃が社会問題となっており、その対処が求められています。一方で、サイバーの世界は目に見えるものではありません。目に見えないからこそ怖いと思う人も多いでしょう。パソコンやスマートフォンがサイバー攻撃を受けるのはよくある話で、昔からいわれていたことでもあります。また最近ですと、カメラやプリンターなど、IoT機器と呼ばれるものもサイバー攻撃を受けることがあります。
さらに問題なのは、こういった状況をほとんどの人が知らないということです。ネットに接続したら1日でどれくらいの攻撃がくるのか、どれくらい経ったらウイルスに感染するのかなど、実態がどうなっているかを調べようと思っても、ほとんど実態はわからないわけです。
さて、私たちの研究としては、噂に流されずに本当に起きていることを観測する、実際に自分たちでできる限り観測して、それに基づいて情報発信・対策をとる、ということを主眼に置いています。
そのため、研究においては、出来る限り「本物」をつかって実証しています。攻撃もウイルスも、本物です。本当に地球の裏側などインターネットで繋がっているどこかに悪さをしている人がいて、その人たちが悪いことをする様子を実際に観測することが研究のテーマになっています。実際のデータを見たほうがより詳しくわかるわけですから、論文や記事に書ききれていない具体的な情報を基にしたほうが、効果も高いというわけです。
インターネットは想像もできないくらいの大きさや広がり、多様性を持っています。その中で全部の攻撃をまともに把握することはかなり難しいといえます。インターネットそのものが相互接続したネットワークです。インターネットに神様はいませんから、誰かが全部見ているとか、お前がおかしいといってくれるわけではありません。お互いに監督されていないネットワークなので、その中でなにかを観察しようと思っても全部は見ることができません。つまり、「効率的に見る」しかないのです。
そこで有効なのが、「おとり」を使う手法です。
例えばインターネットサービスプロバイダは巨大なネットワークを管理していますから、自分たちのインフラで観測することができます。しかし私たちにはそのような大きなインフラがありません。
その立場で意味のあるデータを取得しようと思うと、傍観しているのではなく、攻撃を引き寄せるようなエッセンスが必要です。そこで、おとりを使うというわけです。
Q:研究キーワードのひとつである、「脆弱な機器」とは何でしょうか。
脆弱というのは「セキュリティに問題がある」ということです。もっと簡単にいうと、ハッキングされてしまう可能性がある機器のことです。
持ち主でもないのにその機器にログインして、自由に操作されてしまったり、そこにある情報を盗まれてしまったりする。これがハッキングです。そういったことをされる入口は、知られているものと知られていないものを合わせてたくさんあるのですが、それらを含めて「脆弱性」と呼んでいます。
脆弱な機器は基本的に、待ち受けているタイプが大半です。待ち受けていても、昨今のインターネットは攻撃側が世界中のアドレスをくまなく探索しています。
すると、「日本のこのアドレスに、弱い機器がある」と、攻撃側がある程度の精度で見つけてくるのですね。そのため、そこにあえて脆弱性がある機器を置いておくと、それを目ざとく見つけて攻撃してくるというわけです。
もう一歩先の話をすると、実は攻撃者であるハッカーの人たちはアンダーグラウンドのサイトなどに、お互いに見つけた様々な機器の情報をアップし情報共有に使っています。そこにあえて「おとりの情報」をリークすると、それに引っかかってくる場合があるのです。
Q:こうした研究は、いつごろから盛んになったのでしょうか?
IoTについては、ここ3年くらいで特に盛んになってきているといえます。10年前であれば、主に狙われていたのは Windows のパソコンですね。あとはサーバーがハッキングされることなども昔からありました。
現在のパソコンは、セキュリティは強くなってきています。さらにAndroid やiPhone 、iOS などがでてきたわけです。それらもセキュリティ面がかなり重要視され、何か問題があればすぐ更新することができます。多少の被害が出てもそれが致命的にならないようなマネジメントには、相当のお金をかけて対策をしているわけです。
一方で、先ほどからお話ししている IoT 機器はどうかというと、まったく状況が違います。
非常に多様な分野で様々な企業・技術者がIoT機器を作っている中で、すべてがパソコンのように管理されているかとなると、まったくそうではありません。いってしまえば非常にずさんなつくりをしているものがあります。例えるなら門が大きく開いたままの家のような感じですね。入ろうと思えば誰でも入れますし、壁を叩けばすぐ崩れるようなものも実際にはあるわけです。そういったものがまさにここ3、4年で狙われるようになってきているといえます。
あとは、ルーターなど他の機器も非常に多くやられています。そういったものは以前は攻撃のターゲットになっていませんでしたが、いよいよここ3、4年でメインに狙われるようになっています。膨大な数の攻撃が実際に起きてしまっているのです。
Q:セキュリティ研究は企業側では行なわれているのでしょうか。
私たちが行っているような、実際のサイバー攻撃を観測する研究は、企業側が研究しにくい側面があります。企業側からすると、このような研究には2つの問題があります。
1つ目は、研究成果が保証されていないという問題です。
セキュリティの研究では、問題が起きてからでは遅いため、少し先取りして、攻撃を予知し、備えるわけです。そのためには投資や準備が必要です。
コストを掛けて観測網を作っても攻撃のトレンドが変われば何も観測できず成果がえられません。すべてが実を結ぶわけではないのです。どの研究開発も成果が保証されているわけではありませんが、攻撃観測の研究は観測対象の攻撃側の動向次第であるため、特にこういったリスクが高いわけです。
特に最近の IoTの機器というと世界中に非常に多様なものがありますから、そういった状況で脅威を広く調べようとしても、システム構築のコストが高く、どれが次に狙われるかもわからないので、普通の企業の場合では難しいのです。これが研究しにくい理由の1つ目です。
2つ目は、研究倫理の問題です。おとりのシステムは、本当の攻撃者とある意味非常に近い状況になりますから、当然リスクも伴います。その中でオペレーションに失敗すると、本当に乗っ取られてしまう可能性はゼロではありません。
乗っ取られてしまうと、研究を行っている企業自体が攻撃対象になったり、観測システムが悪用されて他の所を攻撃してしまう場合もあるわけです。まさに「ミイラ取りがミイラになる」可能性があるのです。
すべての企業がやらないわけでなく、もちろん研究をされている企業さんもあります。しかし、こうした2つのリスクから、手を出しにくい側面があると思います。
Q:実際の研究体制はどのようになっていますか?
現在は、研究室でそれぞれのテーマごとに、5名から7名くらいのチームに分かれて研究を進めています。
ドクターコースの学生も一定数おりますし、企業に勤めていてパートタイムでいらしている方も10人ほどいます。そこに修士と学部の学生が合わさって、チームになって研究を進めることを基本にしています。
チームはいくつかありまして、一つは先ほどからお話ししているIoTのセキュリティに関するチームが人数も多く集中的にやっています。
それ以外ですと、サービス妨害攻撃、「DoS 攻撃」と呼ばれるものの対策を検討するチームなどもありますね。
DoS攻撃は、企業のサーバーや様々なサイトなど、例えばオンラインの商取引をするサイトに大量にアクセスしてそのサイトを使えなくしてしまうという攻撃のことです。そこでオンラインビジネスをしていれば、正規のユーザーが繋がらなくなってしまうため、次々に被害が出てしまいます。そこで対価を要求して、「やめてほしければ仮想通貨で払いなさい」とか、脅迫をするような攻撃もあります。
私たちは、このDoS攻撃を観測する仕組みなども用意しています。これも一種のハニーポットといえますね。
国内外で毎日のように起こっている攻撃を検知して、ISPなどの組織に、攻撃のトレンドや攻撃が来ている情報を提供しています。
近年、よく見られる攻撃手法が「踏み台」を使って行なわれるものです。
これは、直接その攻撃者がメインで使っているコンピューターを使って攻撃すると、トレースもされてしまいますし、威力にも限りがでます。そこで、世の中にある、管理が甘いサーバー群を「踏み台」にして、そこに一旦通信を送って通信が増幅したものを攻撃者に届けるという「反射型攻撃」という仕方があります。
DoS攻撃の観測においては、その踏み台のふりをするわけです。すると攻撃者は踏み台だと思ってきますから、それを逆に観測するわけです。
これはある種地震速報に似たところがあります。地震速報も地震が起きた瞬間に発生したことをできるだけ早く伝えるものですよね。DoS攻撃の観測においても、基本的にはすでに攻撃が発生しているのですが、その瞬間に「ここがいま、攻撃を受けています!」という情報をプロバイダさんに提供するという感じですね。
この観測手法的に「どこから来ているか」はいいにくいですが「どこがやられている」、つまり狙われやすいサイトの種類はわかりやすいです。日本も当然ターゲットになっていますが、世界的に数として多いのはアメリカや中国です。あとはゲームのサイトや、オンラインゲームのサービスもかなり攻撃対象になっていますね。
弱い機器をネットワーク全体の「網」で守る
Q:研究において、課題として感じている部分は何でしょうか。
IoTのハニーポットについては、私たちが世界でも先駆けて導入しました。数年前まではそれほど注目されなかったのですが、最近になって世界の様々な研究機関や企業が情報を欲しがるようになりました。実績としては、これまで70以上の研究組織や個人に観測結果の情報を提供してきました。
しかしこれも、たまたまうまくいった話であって、世の中にはもっと様々な攻撃があります。偽物であるハニーポットに対して攻撃してきている攻撃者が世の中のすべてかというと、そうではないのです。
世の中には、囮のシステムには目もくれず、「本物」のシステムだけを狙っている人たちがいるわけです。
例えばある特定の組織のシステムを狙った攻撃、一般に標的型攻撃といいますが、これを私たちが観測できるわけではありません。実際の攻撃を受ける当事者でなければ、観測できないデータがあるということです。
こうした理由から、高度な標的型攻撃のように本当に手強い攻撃を題材に研究しようとすると、必然的にそういう攻撃を受けている組織と連携しなければなりません。特定のサービスを狙った攻撃についても同様で、当該サービスのプロバイダでなければ攻撃の観測はできません。
特に、今はオンラインサービスの海外勢もとても強い中で、現実的にそういうところとうまく連携して日本の一大学ができるかというと、なかなかそうはなっていないわけです。
このように、日本のアカデミアと産業界には、まだまだ隔たりがあると考えています。
そういったものを観測したければ、やはりサービスを実際に提供しているところと組まなければいけない。本当に企業を狙った攻撃を観測したければ、企業と組まなければできないわけですね。
海外の研究にも同様の課題はあるのですが、インダストリーと組んで、大量のデータを使って行なう研究については、日本に比べれば活発です。
さらに海外の場合では、研究がアカデミアの中で閉じることはありません。アカデミアで優秀な研究をしている先生方は、スタートアップで企業を立ち上げて、自分たちの技術をインダストリーに展開することが当たり前になっています。
こうした、日本のアカデミアと産業界の隔たりが、最大の課題だと感じています。
Q:研究室には、どんな学生がいらっしゃいますか。
私が直接指導している学生は、現在35名ほどです。
分野としては注目されているので、興味を持っていただく学生さんは多いと感じています。そういう意味では恵まれていますね。また、サイバーセキュリティの技術者が不足しているため、卒業後も引く手数多の状況ですね。
学生は皆、モチベーションを持って入ってきて、着実に力をつけて産業界に出ていくような状態です。
しかし、先ほど申し上げた通り、大学の中でできる研究はまだまだ本当の現場で使う技術やデータと解離しているところもあります。
この研究は、ものにもよりますが、それほど大きな研究設備が必要なものではありません。工夫をすれば自分たちでできることも多いです。ずっと大学の研究室にいるだけではなくて、少し産業界のところでも経験を得ながら研究をしていくことが大事かなと思います。
実際、私の研究室に入った学生はインターンで企業に行ったり、国の研究所に行って経験を積むことも珍しくありません。様々な国のプロジェクトや、民間の企業との共同研究もしています。これらの実践研究は、現場をある程度知っていないとできないものですから、研究室である程度経験を積んでから、次のステージに行ってくれればと思っています。
Q:企業との共同研究はどういった状況でしょうか。
現在は国のプロジェクトで大きいものがあるので、そちらがメインになっています。国のプロジェクトの中に企業さんが入っていますので、色々と学ぶところも多いです。
現在は、およそ8社の企業となんらかの形で連携しているような状況です。
企業さんも最近は情報を守るだけでなく、サイバーセキュリティのインテリジェンスというか、攻撃側の動向などに興味を持たれているところも多いです。
攻める側がどこに興味を持っているのかを調べるなど、攻撃側に近いところに興味があるようですね。
Q:今後の未来予想についてお聞かせください。
昨今、IoTの話題が盛り上がっています。実はここ数年で、弱い機器が次々と攻撃されるという状況が、一通り起きました。いわば「セキュリティの底辺」になっているような機器が、一通り乗っ取りの被害にあった状況です。
私たちの観測網からも、ひどいときには一か月で100万 以上のIP アドレスから通信がされている様子が見えます。言わば、誰が見てもわかる異常事態が、ここ数年で起きているわけです。
では、これらの異常攻撃がずっと同じペースで続くかというと、私はそうではないと考えています。
ここまで誰がどこで見ても加速して見える攻撃は観測がしやすく、脅威の存在の説明もしやすいため、対策に動きやすいです。国も既に対策に動いています。それに、攻撃をする側からしてみれば、これだけあちこちで騒がれる状況は本当は望ましくありません。攻撃はこっそりやるほうが手強いわけですからね。
そのため、今後は攻撃が「見にくくなる、観測しにくくなる」ことが予想されます。
攻撃の仕方も何十万台の機器を乗っ取って、どこかのサイトをみんなでアクセスして、アクセスできなくするという攻撃は誰でもわかるわけです。一方、「こっそりと誰かの情報を取る」ことは、その実態を掴むことが難しいもの。こうした、見えない攻撃が増えてくるでしょうね。
実は、これは十数年前に Windows で起きたことでもあります 。Windows もかつてはネットワークに繋いだだけで感染してしまうような弱いパソコンの時代がありました。それを改善してセキュリティが強くなるとそれに合わせて攻撃も手が込んできて、攻撃が高度化・潜航してきたという歴史があります。
IoTの機器でも似たようなことは起きると思います。対策としては各機器のセキュリティ対策を高めることですが、難しいのはIoT機器の場合、マイクロソフト社のような大きなメーカーではありません。人や時間をかけた対策ができるかどうかというと、おそらく難しいと思います。
そのため、個々の機器をパソコンのレベルまで高めるというよりも、ネットワークの網で守るという考え方が必要になります。個々の機器がやられていても、全体に迷惑をかけないネットワークをつくるわけです。
攻撃が流入しないよう、または外に出ていかないよう、ゲートウェイで止めるなど、全体を上手く守る仕組みをもっと取り入れる。機器そのもののセキュリティ向上に加えて、こうした対策が、今後必要になってくるでしょう。(了)
吉岡 克成
よしおか・かつなり
横浜国立大学大学院環境情報研究院 准教授。
2000年より、情報セキュリティ研究に従事。2005年に横浜国立大学にて博士号(工学)を取得。同年より独立行政法人情報通信研究機構にて研究員としてネットワークセキュリティインシデント対策に関わる研究開発に携わる。2007年より、横浜国立大学特任教員(助教)。2011年より現職。