ニュース画像

WEB
特集
「IoTクライシス」が忍び寄る(前編)

今年8月、声で家電が操作できると注目を集める「AIスピーカー」に、不正なプログラムをインストールして盗聴器に変えてしまうことができる脆弱性が見つかったというレポートが世界を駆け巡った。身の回りのあらゆるものをインターネットに接続する「IoT(モノのインターネット)」。
利便性が高まる一方、それを悪用しようとたくらむ者にとってもサイバー犯罪のチャンスが増えていることを忘れてはいけない。

狙われるIoT機器

この夏、アメリカ・ラスベガスで開かれた「Black Hat」と「DEF CON」。

毎年恒例となった世界最大のハッカーの祭典だ。ネオンきらめくカジノの街がこの時期は世界中から集まったハッカーであふれかえり、会場の周辺にはTシャツなどラフな格好の人物が目立つ。

ニュース画像

詳しい人に聞くと、ここにいる多くはセキュリティー企業などに勤める善意のハッカーだが、中には会場からの帰り道にサイバー犯罪の容疑で逮捕された人物もいたようだ。

毎年、「Black Hat」と「DEF CON」で発表された内容は未来のサイバー犯罪を予言するといわれる。

会場の一角で興味深い取り組みを見つけた。「VILLAGE(ビレッジ=村)」と呼ばれる専門ブースだ。

自動車やその部品を集めた「カーハッキングビレッジ」、選挙の電子投票機を扱う「ボーティングマシンハッキングビレッジ」など、それぞれの「ビレッジ」にはテーマごとに製品が並べられ、参加者たちが競ってハッキングに挑んでいた。

ニュース画像
会場に置かれていた選挙の電子投票機

この中には、AIスピーカーや冷蔵庫などインターネットにつながる家電製品を集めた「IoTビレッジ」もあった。IoT機器のセキュリティーは特に注目されているという。

参加者の1人は「まだ知られていない脆弱性を我先に見つけようと、ハッカーの誰もが関心を持っています」と話していた。

命にかかわる医療機器までも

取材中、サイバーセキュリティー研究の大物と出会った。ビリー・リオスさん。インターネットにつながる機器の脆弱性を数多く発見してきた人物だ。

ニュース画像

彼がいま注目しているのが医療機器。アメリカでは、インターネットにつながる医療機器が次々と登場しており、これが乗っ取られれば患者の命が脅かされかねない。

本当にそんなことが可能なのか。半信半疑の私たちに対し、目の前で乗っ取りを実演してくれるという。

ニュース画像

待ち合わせたホテルの一室で、彼は「薬剤点滴装置」を取り出した。病院内のイントラに接続され、医師や看護師が離れたところから薬の量などを調整できる新しい医療機器だ。

ノートパソコンを開き、相棒とともに装置にアクセスして中のプログラムを解析し始める。ある命令を送ると秘密のはずのパスワードが見えてしまうというのだ。

固唾をのんで見守ること40分。相棒が「乗っ取ったよ」とつぶやいた。すると、装置に触れていないのに液晶パネルの画面が切り替わり、点滴装置のチューブから薬が大量に流れ出し始めた。装置を乗っ取り、薬の量を増やす命令を送ったのだ。

ニュース画像

彼らは、こうした医療機器の脆弱性をいくつも見つけ、政府に報告してきたという。

「これだけの量を注がれたら、間違いなく患者は死ぬでしょう。いまやX線装置から心肺蘇生に使う除細動器までさまざまな医療機器がインターネットにつながっているが、そのリスクを多くの病院は知らない。犯罪者はそこを狙う可能性がある」

IoT機器が普及する一方、リスク対策を怠ったときに何が起きるのか。その恐ろしさを確信した瞬間だった。

すぐそばにある“乗っ取り”

IoT機器を乗っ取られる事態は、私たちの身の回りでもすでに起き始めている。

ニュース画像

都内に住むある家族は、去年、ウェブカメラをネット通販で買った。人気ランキングでも上位の5000円ほどの商品だ。仕事で留守にしている間もスマートフォンで子どもを見守り、会話もできるようにとリビングに取り付けていた。

ところが1か月ほどたったある日、異変が起きた。妻がひとりでくつろいでいると、壁の方を向けていたはずのカメラのレンズと目が合ったのだ。この時は気のせいかと思ったが、数日後、外国語とみられる「鼻歌」が聞こえてきたり、何も操作していないのにカメラが動きだしたりするなど、明らかにおかしな事態が相次いだ。

そのとき撮影された動画には、カメラから外国語のような会話が聞こえてくる様子がとらえられていた。何者かに乗っ取られたのは間違いない。

私たちが分析したところ、音声は中国語の方言と見られることが分かったが、詳しい内容は聞き取ることが出来なかった。

「すごく怖かったし気持ち悪かったです。子どもの安全のためを思って買ったのに、逆に家の中がのぞかれて子どもを危険にさらしたかもしれないというのは、親として反省です」

“乗っ取り” 攻撃手法は

家族はセキュリティー対策のため複雑なパスワードを設定していた。それにもかかわらず、どうして乗っ取られてしまったのか。

ニュース画像

私たちは「黒林檎」のハンドルネームで知られるすご腕コンピューターエンジニアの村島正浩さんに、家族が使っていたのと同型のカメラを分析してもらった。彼が「やってみましょう」と答えて接続を始めておよそ5分後。私たちが設定したパスワードで守られているはずのカメラが突然、動き始めた。乗っ取りに成功したのだ。

ニュース画像

村島さんによると、このカメラのプログラムには脆弱性があり、あるコマンドを送ると本来は表示してはいけないパスワードを表示してしまうという。

「この攻撃手法はごく一般的なもので、セキュリティー技術者なら誰でもできる。脆弱性は修正されるべきですが、業者によって対応に違いがあるのかもしれません」

このカメラは中国のメーカーが製造したと見られ、日本国内の複数の業者が販売していた。私たちが取材したところ、販売業者の中にはすでに脆弱性を修正したところもあれば対応していない業者もあった。

家族にカメラを販売した業者はどう考えているのか。私たちの質問に対し、11月20日現在、まだ回答は寄せられていない。

IoT機器が身の回りに広がり続けている一方、このカメラに限らず「脆弱性が見つかった」というメーカーの報告は後を絶たない。

コンピューターセキュリティーに詳しい横浜国立大学の吉岡克成准教授は、「さまざまな機器に搭載されるプログラムが複雑化・高度化している中で、製品を発売する前にすべての脆弱性をなくすことはもはや不可能になっている」と指摘する。

私たちはIoT機器に潜むリスクとどう向き合っていけばいいのか。

終わりなきセキュリティー対策

沖縄県宜野湾市。海をのぞむ国道沿いのマンションの一室に、IoT機器のセキュリティー対策に取り組む検証施設がある。検証を行っているのは、メーカー各社と大学でつくる「重要生活機器連携セキュリティ協議会」だ。

国の支援のもと、IoT機器をインターネットに接続した際のリスクを調べている。これまでにブルーレイレコーダーなどいくつかの製品ですでに脆弱性が見つかっている。IoT機器の安全性は製品によってばらつきがあり、消費者には見分けがつかないのが実態だ。

ニュース画像

そこで協議会が取り組んでいるのがセキュリティー対策の基準作り。十分な対策が取られている製品に認証を与え、消費者でも一目で分かるようにするのが狙いだ。

しかし、IoT機器を狙う手口は常に進化し続けており、対策に終わりはないという。

協議会の荻野司代表理事は、「家電は悪意のある人がいるという前提ではもともと作られておらず、外から誰かが接続して何か悪さをするということも想定していなかった」と話す。

ハッカーの力を借りる

サイバー犯罪の手口が進化し続けるなか、ハッカーの力を借りようという動きも加速している。

アメリカ・ラスベガスで開かれたハッカーの祭典「DEF CON」の会場では、日本の自動車メーカー・マツダの車が置かれ、ハッカーたちが入れ代わり立ち代わりハッキングに挑んでいた。

ニュース画像

幸いにも車が乗っ取られることはなかったが、聞けばこの車、マツダが提供したものだという。不思議に感じたが、専門家によると、メーカーだけの力で脆弱性を見つけ出すことはもはや難しくなっていて、ハッカーの力を借りる方が安全確保には有効なのだそうだ。

よく見ると、会場ではこのほかにも日本のメーカーの担当者の姿が数多く見られた。あるメーカーの担当者は、「世界最先端の情報が行き交うハッカーのコミュニティーはもはや無視できない。むしろ積極的に活用したい」と話していた。

ニュース画像

会場でもう1つ興味深い光景を目にした。子ども限定のイベントだ。16歳までの子どもたちがパソコンをいじったりはんだごてを使ってコンピューターの基盤を組み立てたりして、遊びながらコンピューターやソフトウェアの仕組みを学んでいた。

ハッカーの祭典とはんだごて。一見、相いれないように思うこの組み合わせこそが、これからの時代を象徴するのだという。

会場で出会った専門家は、「あらゆるものがインターネットにつながる時代を迎え、ものづくりとインターネットの垣根がなくなった今、両方の知識や発想を兼ね備えた人材がこれから不可欠になる。日本はアメリカと比べ、こうした人材の育成が遅れていると言わざるを得ない」と指摘していた。

IoT時代に求められる新たなセキュリティー対策。それを担う人材をどう確保するか、取り組みは待ったなしだ。

田辺幹夫
ネットワーク報道部記者
田辺幹夫
黒瀬総一郎
科学文化部記者
黒瀬総一郎

NHKスペシャル
「あなたの家電が狙われている〜インターネットの新たな脅威〜」
11月26日午後9時放送予定(NHK総合)