本来の目的とは異なるけれど、うまく応用すれば日本の企業や組織のランサムウエア被害を大きく減らせる潜在力がある――。筆者がそんな期待を抱く取り組みを、情報通信研究機構(NICT)が2024年4月にも始める。脆弱性があるファームウエア(基盤ソフト)を搭載するルーターなどのIoT(インターネット・オブ・シングズ)機器を検出するものだ。
NICTが2019年から展開してきた「NOTICE(National Operation Towards IoT Clean Environment)」と呼ぶ調査を発展させた施策である。NOTICEでは企業や組織のIoT機器に対し、よく使われるIDとパスワードの組み合わせでログインを試行。成功したときは乗っ取られるリスクの高いIoT機器として検出し、インターネット接続事業者(ISP)を介して利用者に注意喚起している。
同調査が始まる前には、「国が不正アクセスするのか」といった批判の声が一部から出たことでご記憶の方もいるだろう。実際にはログインに成功した場合も内部ネットワークに入らず直ちにログアウトするといった設計により、不正アクセス禁止法などに違反しないようにしている。
主な目的はIoT機器を狙うマルウエア「Mirai」対策だが……
NOTICEの調査は2023年度末(2024年3月末)までとされていたが、期間を延長した上で、さらに調査の対象を広げ規定を整備することを定めた法律が2023年12月に成立した(以下、改正NICT法)。具体的には2024年4月以降、ファームウエアに脆弱性があるIoT機器などが調査対象に加わることになった。この点がランサムウエア対策にもつながると筆者は考えているのだが、それは後述する。
そもそも調査対象を広げる目的はランサムウエアとは別にある。NICTを所管する総務省は「ネットワークサービスの安定的な運用を妨げるマルウエアの拡大を防ぐ」(酒井雅之サイバーセキュリティ統括官室参事官)と説明する。IoT機器に感染するマルウエア「Mirai(ミライ)」を主に想定しているという。
Miraiは感染したIoT機器によるボットネットを形成し、DDoS(分散型サービス妨害)攻撃などに悪用する。DDoS攻撃はネットワークサービスの安定的な運用を脅かす最たる例だ。
しかも最近出回っているMiraiの亜種は、IoT機器のファームウエアの脆弱性を悪用して感染するものが多い。破られやすいIDとパスワードを使っているIoT機器の利用者に注意を呼びかけるだけでは、感染の拡大を防ぎにくくなっている。そこで脆弱性を抱えるIoT機器のファームウエアにまで調査対象を広げたわけだ。
脆弱性を修正すればランサムウエア攻撃も受けにくくなる
もっとも、IoT機器のファームウエアに潜む脆弱性を悪用するのはランサムウエア攻撃も同様だ。IoT機器の一種といえるVPN(仮想私設網)装置の脆弱性を悪用して不正侵入し、ランサムウエア攻撃を仕掛けた例は国内で幾つも判明している。2023年7月に発生した名古屋港の被害もその1つだ。
VPN装置の脆弱性を悪用する手口の増加は、セキュリティー大手トレンドマイクロの調査でも浮き彫りになっている。2021年1月~2023年6月の間に同社の「インシデント対応サービス」で確認したランサムウエア攻撃のうち66.7%が、VPNやRDP(リモート・デスクトップ・プロトコル)などの脆弱性を悪用して不正侵入していた。
本来であれば、利用するIoT機器に脆弱性が見つかり次第、企業や組織は速やかにパッチ(修正プログラム)を適用すべきだ。ただ現実には、脆弱性が見つかったこと自体に気付かない企業や組織が少なくない。
この脆弱性に気付かないという根本的な問題の解消にNICTの取り組みが役立つ。ISPから注意喚起のメールが届いて脆弱性の存在を認知すれば、パッチを適用して穴を塞ぐ道が開ける。そうなればマルウエアだけでなく、ランサムウエア対策にも効果を発揮するはずだ。
