前回、2017/03/11版のブログ「その1」では、主に、「ランサムウェア」の脅威を紹介しました。

「ランサムウェア」は、ネットワーク接続されたPC内のデータを暗号化する事でPCを使用出来なくして、その上で、暗号を解除するための身代金を要求するウィルスです。

★過去ブログ：新種のサイバー攻撃に備える その1

「ランサムウェア」は、身代金ビジネスとして、これからのサイバー攻撃の主流になっていくと思われるウィルスですが、その恐ろしさは理解して頂けましたでしょうか ？

そして、前回のブログの最後で、再度「IoTの危機」を紹介する旨を記載しました。

「IoTリスク」に関しては、2年位から「野良IoT」と言う言葉も現れています。

似たような言葉で、「野良デバイス」、「野良クラウド」、さらには「シャドーIT」等と言う言葉もあります。

「野良ネコ」や「野良イヌ」同様、何れも、誰も管理していないデバイスに対するリスクを表した言葉だと思います。

「IoT」とは、前回も説明しましたが、「様々な製品に通信デバイスを組み込んでネットワークで接続して制御管理する」事を意味しています。

つまり、「通信デバイス」を組み込んだ製品が、全世界にバラ撒かれる事になります。

これら、全世界にバラ撒かれた「通信デバイス」が、販売会社、あるいは利用者によって、きちんと保守/管理されている間は大丈夫だと思います。

しかし・・・一旦、保守対象から外れ、誰もメンテンナスを行なわなくなり、「野良」になってしまうと大変な事になってしまいます。

システムに対する脆弱性が修正されないので犯罪者の攻撃対象となり、気が付かないうちに乗っ取られてしまい、「DDoS攻撃」の足場にされたり、ウィルスを侵入させるための窓口になってしまったりします。

製品が、販売元、あるいは開発元の保守対象から外れるケースとしては、例えば、Microsoft社は、製品発売後、最長10年経過すれば保守を打ち切りますし、家電製品などは、製品購入後1年で無償修理を打ち切ります。

しかし、製品購入者は、購入した製品が稼働するのであれば、何も無理して新しい製品を購入する必要も無いので、製品が壊れるまで、限界まで使い続けます。

故に、以前も紹介しましたが、工場、あるいはスーバーのPOSレジなどでは、未だに「Windows XP」が、現役バリバリで稼働するような状況となってしまっています。

このような状況の時に、何らかのタイミングで、例えば、工場の機械の保守点検などの際、USB経由、あるいは点検用PC経由でウィルスに感染すると・・・該当デバイスは、犯罪者の部下/配下になってしまいます。

「IoT」に関して、以前、下記の過去ブログで、次の点を紹介しました。

★過去ブログ：IoT 〜 日本復活か？ それとも破滅か？
・「IoT」とは何か ？
・「IoT」が拡がる理由
・「IoT」に対する先進国の対応

その上で、「IoT」の問題点や、実際に起きた感染例を紹介しました。

・車載ソフトウェアへの感染例
・イラン核施設での感染例

車載ソフトウェアへの感染では、現時点では、あくまでも試験の事例ですが、自動停止ブレーキが効かなくなったり、あるいは停車しているのに速度計が180Km/hになったりと、一般車両で発生したら、とんでも無い事故になる事例を紹介しました。

しかし、イランの核施設の事例は、これは実験でも冗談でもありません。

実際に、USB経由で工場内の遠心分離機制御ソフトウェアをウィルスに感染させ、その上で、遠心分離機の回転速度を急激に上げて、工場内のほぼ全て、数千台の機械を破壊してしまったのです。

まさに、スパイ映画の様な本当の話ですと言うか、本当にアメリカ(CIA)、またはイスラエル(モサド)の情報機関の仕業と言われています。

そこで今回は、新たな「IoTリスク」に関する情報や今後の対応策を紹介したいと思います。

●国家を揺るがすインフラ攻撃リスク
●狙われている日本企業
●相変わらず危険「走る凶器」と化す車
●その他リスクの紹介
●セキュリティに対する認識
●今後の防止策

それでは今回も宜しくお願いします。

-----------------------------------------------------------------------------------------

■国家を揺るがすインフラ攻撃リスク

前回ブログでは、「インフラ攻撃」の事例として、イラン核施設への攻撃事例を紹介しました。(※下表5番)

これは2009年頃の出来事ですので、既に、8年も前の攻撃になります。

その他にも、次の様なインフラに対して、ウィルス攻撃が仕掛けられています。

これら「インフラ攻撃」は、一歩間違えば、全て、とんでも無い事態になっていたと思われますが、その中でも、特に恐ろしいのは、ウクライナの電力会社への攻撃です。今回、この攻撃事例を紹介します。

2015年12月23日の現地時間午後3時35分頃、クリスマス直前のウクライナの西部「イヴァーノ＝フランキーウシク州」の広域に於いて、複数の電力会社で数時間以上に渡る大停電が発生し、約22万5000世帯に対する電力の供給が絶たれたそうです。

ウクライナは、ご存知通り、黒海に隣接した比較的温暖な気候ですが、この季節は、気温がかなり下がり、しかも夕方ということもあり、暖房のため電力需要は増加していたとは思われますが、供給量が需要に追いつかず停電したという訳ではありません。

停電を起こした電力会社の1つである「プリカルパチャ・オブエネルゴ」社は、早々に、『 この停電は外部からのサイバー攻撃によるものだ 』と発表しましたし、週明けの12/28日には、ウクライナ保安当局も、この停電はサイバー攻撃によって発生したと発表しています。

その後、アメリカのセキュリティ組織「SANSインスティチュート」が調査した所、この停電は、ウクライナ西部の3つの電力会社が運用する30箇所以上の変電所において、ブレーカーが遠隔操作で遮断された事により発生していた事が判明したそうです。

さらに、この事件では、「BlackEnergy(ブラックエナジー)」と呼ばれている、古くから存在する「トロイの木馬型マルウェア」の亜種が、電力会社に侵入していた事が判明しました。

攻撃者は、電力会社の従業員に「標的型メール攻撃」を仕掛け、社内ネットワークへの侵入を図りました。

そして、従業員が、メールに添付された「マクロ付きOffice文書」を開く事により「BlackEnergy」に感染してしまったようです。

この手法は、「マクロ・ウィルス」と言う攻撃方法で、平成7年(1995年)に、初めて世界に出現したウィルスです。

Microsoft社のOfficeにおいて、マクロ起動処理の機能を強化した事で、一時は絶滅したかに見えた、「マクロ・ウィルス」ですが・・・何故か、2014年頃から復活してきたようです。

「マクロ・ウィルス」に関しては、過去ブログに詳しい情報を掲載していますので、そちらをご覧下さい。

★過去ブログ：マクロ・ウィルスの逆襲 〜 歴史は繰り返すのか ?

そして、内部侵入に成功したウィルスは、数ヶ月間に渡り、「キーロガー」と呼ばれる仕組みで、従業員が行うキーボード入力操作を監視し、電力制御システムへのログインための画面やログインID/パスワード情報を入手したと推測されています。

その後は、遠隔地から、電力システムの管理者のPCを乗っ取り、盗み取ったログインID/パスワードで制御システムにも侵入したようです。

そして最終的には、「KillDisk」、あるいは「DisaKil」等と呼ばれる「ワイパー・マルウェア(消去ウィルス)」を使用して電力会社内のネットワークのファイルや、機器との通信や制御を行う各種サービスを停止させる事により、停電を発生させたと見られています。

さらに攻撃者は、停電攻撃と同時に、電力会社の問合せ窓口にも攻撃を仕掛け、電話連絡が出来ないように、電話回線をパンクさせたそうです。

このため、住民は、電力会社に連絡出来なくなってしまい、一時、付近一帯の住民はパニックになってしまったそうです。

このウクライナの電力インフラへの攻撃は、用意周到に準備されており、通常のハッカー攻撃とは思えません

事実、ウクライナ政府、および「トレンドマイクロ社」等、複数のセキュリティ企業では、これら一連のインフラ攻撃は、ロシアが仕組んだ「軍事攻撃」だと断定しています。

当時、と言うか、現在でも継続中ですが、2014年2月、ロシア軍が、突如、ウクライナの「クリミア自治共和国」に侵攻して以降、ロシアとウクライナは交戦状態にあります。

このように、両国が交戦状態にある事から、これら一連のインフラ攻撃の犯人は、ロシア政府が支援しているハッカーグループの一つ「Sandworm Team」だと断定しています。

この「Sandworm Team」は、以前からエネルギー企業や産業制御システムなどへの侵入を行っているとされており、OSの脆弱性を突く「ゼロデイ攻撃」を繰り返しているそうです。

一方、「インフラ攻撃」ではありませんが、ロシアは、昨年実施されたアメリカの大統領選挙の際に、アメリカ民主党全国委員会にサイバー攻撃を仕掛け、民主党のメールサーバーに侵入し、4万件にも及ぶ大量のメールを盗み取ったとされています。

この事件に関しては、アメリカを代表する情報機関であるCIA、FBI、そしてNSAが、(珍しく)協力して報告書を作成し、それぞれロシア軍参謀本部情報局「GRU」とロシア連邦保安庁「FSB」配下の2つのグループが、サイバー攻撃を行ったと断定しています。

本件は、本章の主題「インフラ攻撃」ではありませんので、詳しくは紹介しませんが、それぞれ、次のグループの仕業とされています。

・「GRU」配下 ：「ファンシーベア(別名：APT28)」
・「FSB」配下 ：「コージーベア(別名：APT29)」

これらのグループは、以前から世界各国の様々な機関や組織に対してサイバー攻撃を仕掛けている事がセキュリティ企業から報告されています。

さらに、大統領選挙では、サイバー攻撃と同時に、インターネット上に、自分達に都合の良い「偽ニュース」、今では、アメリカ人のあるバカ者が、しきりに「Fake、Fake」と騒いでいますが、この「偽ニュース」を流して、世論を操作しようと試みていたそうです。

この「偽ニュース」を作成しているのは、ロシアのサンクトペテルブルクにある「インターネット・リサーチ・エージェンシー」と言う企業で、約400人の従業員が、1日「二交代制」で、「偽ニュース」を流し続けている事が解っているそうです。

ちなみに、「偽ニュース」を流して世論を操作しようとする行為を「トロール(荒らし)」と言うようです。

このように、世界では、とんでもないサイバー攻撃が起きていますが・・・日本はどうでしょうか ？

先程の表に、1個だけ日本と掲載しましたが、実は、これは、実際にサイバー攻撃を受けた訳ではありません。

次に、日本企業が、サイバー攻撃に見舞われそうになった事例を紹介します。

-----------------------------------------------------------------------------------------

■狙われる日本企業

本章では、日本企業に起こった恐ろしい事例を紹介します。

「光洋電子工業 株式会社」は、1955年に、東京都小平市で設立し、業務用電子制御機器を製造している企業です。(※資本金16億円)

申し訳ありませんが、正直な所、大企業では無いので、余り有名では無いようですが、何故か、この企業がサイバー攻撃を受けそうになったそうです。

平成24年(2012年)の1月、突然、アメリカの国土安全保障省(DHS：Department of Homeland Security)から、「光洋電子工業が製造しているインフラ制御システムに、セキュリティ上の弱点ある事が発見されたが、その弱点を攻撃するプログラムを全世界に公開する、と宣言している企業が存在する。」と言う警告を受けたそうです。

つまり、光洋電子工業が製造したインフラ制御システムを使っている企業に対して、サイバー攻撃可能なプログラムを公開すると宣言している企業が居るから対策を取れ、と言う連絡だったそうです。

そして、サイバー攻撃可能なプログラムを公開すると宣言していたのは、何と・・・NSA出身者が経営する「デジタルボンド(Digital Bond)」と言うセキュリティ・コンサルティング会社でした。

この「デジタルボンド」社は、インフラ制御システムの安全性について企業に助言することで報酬を得るセキュリティ・コンサルティング企業で、高度なハッキング技術を持つ社員で構成する少数精鋭集団、とのことです。

何で、セキュリティ会社が、そんな脅迫じみた真似を・・・と思うのが普通ですが、CEOの「デール・ピーターソン(Dale Peterson)」氏によれば、

「10年程前から、世界中のインフラ制御システムにセキュリティ上の問題があると警告してきたが、誰も耳を傾けてくれないので、今回は強硬手段に出ることにした。」

と言う事らしいです。

「何も、そこまでしなくても・・・」と思いますが、そこは文化の違いなのでしょう。

裁判で公開を阻止する手段もあったのかもしれませんが、このケースでは、攻撃プログラムの公開まで猶予期間が3週間程度しかなかったので、急遽、製品に対して、インターネットにアクセス出来ないようにする対応を施したそうです。

その後、予告通りに攻撃プログラムは公開されたそうですが、プログラム公開後も、特に、被害報告は来ていない、との事らしいです。

今回、デジタルボンド社が攻撃用プログラムで用いたのは、「パスワード・ブルートフォース」と呼ばれているハッキング手法で、高速CPUを搭載したコンピューターで、膨大な数の組合せを短時間で生成し、パスワードを探し当てる方法らしいです。

映画で、ジェームス・ボンド等のスパイや、金庫破りが使う手段です。

何で、こんな簡単な手法で、サイバー攻撃が可能なのかと言うと、そもそも、インフラ制御システムに関しては、ピーターソンCEOが指摘した通り、セキュリティを考慮した仕様にはなっていないのが実情で、ほんの少しの知識さえあれば、誰でもサイバー攻撃が可能な状態になっているようです。

このため、今回の「攻撃予告」と言うか「公開予告」は、光洋電子工業だけに限られた話ではなく、アメリカの「GE(ゼネラル・エレクトリック)」、ドイツの「Siemens(シーメンス)」等、世界的に有名なメーカの制御システムの弱点も明らかにし、攻撃プログラムを公開する準備を進めているそうです。

そして、「何故、インフラ制御システムは、セキュリティが弱いのか ? 」と言うことですが・・・やはり、その成り立ちに問題があったようです。

そもそも、インフラ制御システムは、各企業が、自社用に、独自にソフトウェアの開発を進めてきた歴史があります。

その後、自社開発では開発費、および保守費が掛かり過ぎるため、外部から市販ソフトウェアを購入することで、開発費/保守費を抑制してきました。

そしてさらに、インフラ制御システムを、インターネットで繋ぐことで、外部から保守管理が出来る仕組みを取り入れたのですが・・・この仕組みがアダとなり、ウィルスが侵入する経路を作ってしまう事となってしまいました。

つまり、最初は自社で内製したソフトウェアなので、バグは数多く存在しますが、ウィルス等の脅威は全くありませんでした。

その後、市販ソフトウェアを使うことで、多くの、そして同じソフトウェアが、全世界中で使われるようになりますが、この時点では、インターネットに接続していないので、外部からウィルスが侵入する確率は、それほど多くはありませんでした。

しかし、最後に、ソフトウェアをインターネットに接続して管理出来るようにした事で、ウィルスが侵入する経路を作ってしまったのです。

インターネット接続時に、同時にセキュリティも強化すれば良かったとは思いますが、GEもシーメンスも、そして光洋電子工業も、そこまでは気が付かなかったのだと思います。

まさか、気が付いてはいたけど、開発費用が増えるので、対応を見送った、と言う事では無いことを祈りたいと思いますが・・・

現在では、GEやシーメンス、日本では三菱重工やアマダ等、大手インフラ制御システム製造業の企業では、インフラ制御システムに対するセキュリティを強化していますが、現場、つまり工場への拡がりは、それ程、進んでいないと思われます。

過去ブログ(IoT 〜 日本復活か？ それとも破滅か？)にも記載しましたが、実際問題としては、インフラ制御システム以前の問題で、工場内で使われているPCは、未だに「Windows XP」です。

もっと酷いケースでは、「PC-9800」や「Windows NT」を使っている工場さえ存在します。「なに!! 未だにWindows NTだ〜 」と思う方が沢山居ると思います。

「Windows NT」は、2004年12月、12年以上も前に、サポートが終了していますが、アメリカの調査会社「Net Applications」の調査によれば、2016年12月の時点で、全世界のデスクトップPCの内、「Windows NT」のシェアは「0.34%」、「Windows XP」のシェアは「9.07%」もある、と報告されています。

全世界では、2008年には、既に「100億台」のPCが設置されていると言う報告もありますので、世界規模で見ると、次のような稼働状況となっているように見受けられます。

・Windows NT ：3400万台
・Windows XP ：9億700万台

これでは、いくらメーカーがセキュリティを強化しても話になりません。企業経営者は、もう少し、ITに対して積極的に関与すべきだと思われます。

-----------------------------------------------------------------------------------------

■相変わらず危険「走る凶器」と化す車

さて、次も前回紹介した内容への追加情報となります。

前回のブログでは、車載ソフトウェアが余りにも脆弱なため、簡単にハッキング出来てしまう事と、実際にハッキングした事例を紹介しました。

そして、この報告の後、2014年7月には、フィアット・クライスラーオートモービル(FCA)は、「チェロキー」のリコールに踏み切り、約140万台に対してシステムの脆弱性を修正しています。

この事例の後、日本においても、車載制御システムの標準化を目指す業界団体「一般社団法人JASPAR(Japan Automotive Software Platform and Architecture)」が、国際標準化団体と連携しながら、セキュリティを強化する方法を検討し始めたようです。

しかし、その一方、2016年2月、日産「リーフ」にも脆弱性が発見されると言う大問題が発覚しました。

そして、この脆弱性は、車本体ではなく、何と！! スマートフォンのアプリの脆弱性でした。

日産では、スマートフォンのアプリで、車のエアコンやファンを制御出来る仕組みを提供していました。

ところが、このスマートフォンの専用アプリには、誠にお粗末なことに、認証機能が実装されておらず、識別番号の下5桁さえ一致すれば、他人の「リーフ」を制御出来てしまうことが明らかになったそうです。

事実、イギリス在住でMicrosoft社のリージョナルディレクター「トロイ・ハント」氏と、オーストラリア在住で、日産「リーフ」を所有している友人の「スコット・ヘルム」氏との間で、車をハッキングする実験を行ったそうです。

そして、インターネット経由で、地球の反対側にある「リーフ」にアクセスした所、簡単にハッキングする事に成功し、「リーフ」のエアコンを作動させる事が出来たそうです。

この実験結果は「YouTube」にもアップされています。(https://www.youtube.com/watch?v=Nt33m7G_42Q)

なんともお粗末な話ですが、これが現実です。

日産は、この事実が公表された翌日となる2月25日に即座にアプリ・サービスを停止し、それから1ヶ月掛けて対策を施し、4月1日から、サービスを再開させたようです。

さらに、2016年6月、今度は、三菱「アウトランダーPHEV」に対する脆弱性が発見されます。

この脆弱性に関しては、イギリスのセキュリティ会社「ペン・テスト・パートナーズ(Pen Test Partners)」が実験を行い、やはりアプリ経由で「アウトランダー」のハッキングに成功したと報告されています。

そして、「アウトランダー」の場合、エアコンだけに留まらず、盗難警報を解除したり、ライトやエアコのオン/オフを繰り返してバッテリーを消耗させたりする事も可能だとしています。

「アウトランダー」のケースでは、車載ソフトウェアに暗号化は施されているそうですが、「余りに稚拙(ちせつ)」なため、暗号解読に4日程度掛けた所、直ぐに暗号を解読してハッキングに成功したそうです。

加えて、三菱の場合、車載ソフトウェアとアプリの接続方法が他の自動車メーカーとは異なり、車自体が無線LANのアクセスポイントになってしまっているので、余計にハッキングし易い構造になっているそうです。

ちなみに、一般的な遠隔操作アプリは、メーカーのWebサービスを使ってGSM経由で車載モジュールに接続しています。

「Pen Test Partners」は、当初は、非公開で、直接、三菱自動車に警告を発していたそうですが、三菱側が、全く相手にしなかったので、この件を、イギリスの公共放送「BBC(British Broadcasting Corporation)」に伝えて放送した所、三菱側が、あわてて対応を開始したそうです。

結局、前述の「車自体がアクセスポイント化」している事が災いした様で、このブログを執筆している2017年3月時点でも、未だに対応が取れていない旨が、「App Store」の注意書きに小さく記載されています。

最終的には、「アウトランダー」のリコールになると思いますが、この企業の場合、平気でリコールを隠蔽しますから、今後も、アプリは使えないように、インターネットは無効にしておいた方が良いと思います。

しかし・・・この「三菱自動車」と言う企業、もう、本当にどうしようも無い企業だと思います。「物」を作る資格など無い会社だと思います。

私は、その昔から三菱の車が好きで、「スタリオン」を2台乗り潰し、その後「ディアマンテ」に切り替え、会社の車も「eKワゴン」を使っていますが・・・もう、この会社の車は、生きている間は、絶対に購入したくありませんし、将来、息子たちが車を購入する時にも、絶対に、三菱だけは購入させないようにしたいと思います。

まあ、経営主体が「日産」になったので、少しは企業風土が変わる可能性はありますが・・・「日産」も、その昔、フランスの「ルノー」に買収されるまでは、「カス会社」となっていたので、三菱も、現在の「カス状態」から脱却できるかもしれません。

しかし、こう考えると、日本の企業は、一体どうなってしまったのでしょうか ?

世界でも一流の技術を持つ企業が、次々と堕落して行きます。日産自動車、三菱自動車、東芝、オリンパス・・・私を含め、日本人全体が「カス」化しつつあるのかもしれません。

さて、そんな「走る凶器」となりそうなクルマですが、トヨタやホンダでは、セキュリティ対策のための部署を立ち上げたり、実際に、車載ソフトウェアのセキュリティを強化したりしているようです。

実は、2013年に、トヨタも、先述の「チェロキーの脆弱性」を公表したセキュリティ・イベント「ブラックハット」において、二世代目「プリウス」の「車載ソフトウェアの診断窓口」となっているポートを攻撃され脆弱性を公表されると言う、苦い経験があります。

このため、トヨタのグループ会社「デンソー」では、セキュリティ機能を管理/制御する部署を立ち上げて、開発方法を刷新しているようですが・・・何と ! 自動車業界には、サイバー・セキュリティに対する業界標準も決まっていないそうです。

各社が独自にセキュリティ対策を施しても、何れ限界が来ます。「JASPAR」が、アメリカやドイツの業界と一緒に、セキュリティ対策を講じることが必要だと思います。

しかし、自動車業界も、前章のインフラ制御システムと同様の問題があります。

つまり、各自動車メーカーが、独自に対策を施してきた歴史があるので、なかなか業界標準が作れないのです。

さらに、自動車業界では、完成車メーカーと部品メーカーが別れており、それぞれ個別に開発を進めていく習慣があるので、余計に、業界標準の策定に時間が掛かるのだと思います。

加えて、過去ブログにも記載しましたが、現状、業界最大手の「トヨタ」が、「IoT」に対して後ろ向きの姿勢なので、余計に時間が掛かるのだと思います。

恐らく、自動車業界のセキュリティ標準は、ドイツのメーカーである、「ボッシュ」、あるいは「コンチネンタル」、あるいはアメリカの「GE」等が主導権を握り、欧米が提唱する仕組みが、業界標準になってしまうと思われます。

まあ、日本が世界標準を取得出来ない点に関しては、自動車業界に限らず、全ての業界に当てはまる事なので、もう仕方が無いのかもしれません。

-----------------------------------------------------------------------------------------

■その他リスクの紹介

これまで、「IoT」に関して、主に、インフラとクルマの脅威について紹介して来ましたが、恐ろしいのは、何も、この二つだけに限った事ではありません。

結局の所は、インターネットと接続する「物」は、全て危ないと思った方が良いと思います。

それでは、「何が危ないのか ? 」と言うと、IT機器が悪意を持つ者に乗っとられてしまい、次のような犯罪に利用されてしまうケースが考えられます。

・他の機器を攻撃する足場となる
・想定外の動作をして利用者を攻撃する
・誤作動を繰り返して機器自体を破壊する
・勝手に機器を使われてしまう・・・・等

簡単ではありますが、より具体的な事例を紹介します。

●「監視カメラ」ハッキング事例

これは良くあるケースで、一時、ニュースでも紹介されています。現在でも、あるサイトでは、世界各地の監視カメラの映像を掲載しています。

監視カメラは、インターネット経由で外部からログインして監視対象を見ることが出来ますが、監視カメラ制御ソフトウェアにパスワードを設定していなかったり、パスワードが工場から出荷されたままの状態だったりと、簡単にハッキング出来てしまいます。

そして、監視カメラがハッキングされてしまうと、この監視カメラと接続されているIT機器にまで、ウィルスを感染させる事が出来ます。

インフラ攻撃事例にも掲載しましたが、トルコのケースでは、監視カメラ経由でウィルスが侵入して、最終的に、パイプラインが爆破されています。

また、ハッキングされた別のPCを踏み台にして、「DDoS攻撃」を掛ける手法は、良く犯罪者が良く使う手段です。

●「スマートハウス」ハッキング事例

「スマートハウス」とは、別名「次世代省エネ住宅」と言い、このスマートハウスを管理するシステムを「HEMS(Home Energy Management House)」と呼んでいます。

そして、この「HEMS」がハッキングされてしまうと、家庭内の各種電気設備が遠隔操作されてしまう事になります。

先程の日産「リーフ」の様に、勝手にエアコンがオンにされたり、照明機器をオンにされたりしてしまいます。

インターネットで接続された機器、例えばヒーターや風呂などを遠隔操作されれば火災が発生する可能性もあります。

●「医療機器」ハッキング事例

「人の命」を守る医療機器ですが、ハッキングされると非常に危険です。

ここで指摘しなくても簡単に解ると思いますが、手術や医療行為で使う機器がハッキングされたら、病人は「一巻の終わり」です。

実際には、2015年「ホスピーラ(Hospira)」社(現：ファイザー)製の薬剤投与システムにセキュリティの脆弱性が指摘され、外部から投薬量や、投与薬を変える事が出来る事例が報告されています。

また、病院外でも、10m圏内にある「心臓ペースメーカー」を攻撃し、ペースメーカー内のソフトウェアに対して、流す電流を増やして利用者を殺害する事が出来る仕組みが公開されています。

●「家電」ハッキング事例

2015年、世界的なハッカーの祭典「DEF CON」において、韓国サムソン社製のスマート冷蔵庫「RF28HMELBSR」に、セキュリティの脆弱性がある事が公表されました。

この冷蔵庫は、通信機能が組み込んだ「IoT」製品ですが、インターネット通信には、「SSL(Secure Sockets Layer)」と呼んでいる暗号化の方式を使っていたそうです。

しかし、この暗号化処理における証明書のチェックが甘く、通信途中で第三者からハッキング可能である事が解ったそうです。

そして、この冷蔵庫では、Googleのカレンダー機能「Google Calendar」を使って、冷蔵庫のパネルにカレンダーを表示していますが、この処理でGoogleのログイン情報をハッキングされてしまうそうです。

一旦、Googleのログイン情報が盗まれてしまえば、後は、別に「冷蔵庫」等は必要ありません。どこからでも悪用可能です。

これまで紹介してきた様に、とにかくインターネットと接続する機器は注意が必要です。

「つながる生活」は便利ですが、「つながる」事で、新たな「脅威」とも「つながる」事を意識する必要があります。

「犯罪者」は、常に、新たな「出会い」を求めています。

-----------------------------------------------------------------------------------------

■セキュリティに対する認識

ここまで、各種「IoT」の危険を紹介してきました。

そこで、本章では、「セキュリティへの心構え」として、アメリカのシリコンバレーにある「シンギラリティ・ユニバーシティ(Singularity University)」と言う教育機関に所属している「ケレン・エラザリ(KEREN ELAZARI)」氏の講演から、重要部分を抜粋した内容を紹介したいと思います。

「ケレン・エラザリ」氏は、大手セキュリティ企業、政府機関などでの勤務経験があり、新たなセキュリティ技術を研究するセキュリティ業界リサーチアナリストと言う触れ書きになっています。

日本でも何度も講演を行い、世界トップクラスの専門家とされています。

また、「シンギラリティ・ユニバーシティ」自体は、Google社、および同社CEO「ラリー・ペイジ」の支援を受けて創設された教育機関です。

それでは、セキュリティに対する「心構え」を紹介します。

●あらゆるものがサイバー・セキュリティの対象に

リアルな世界のあらゆる「物」がセキュリティの問題に脅かされており、GPSや航空機や船の管制システム等、社会にとって重要なインフラにもセキュリティの懸念は広がっている。

2010年にイランの核施設を標的とした攻撃で有名となったマルウェア「Stuxnet」は、セキュリティ問題の深刻さを表している。

走行している船に「偽」の位置情報を与えてコースを変えたり、糖尿病患者のインスリン・ポンプを誤作動させたりといったことも十分起こり得る。

●悪人たちは「創造的で革新的で協力的」

サイバースペースの悪人たちは常に新しいものを「発明」している。その代表的なものが、Zeus（ズース）や、CryptLocker（クリプトロッカー）といったマルウェアだ。

また、「マルヴァタイジング」と呼ばれる悪質な広告も増加している。

さらに、アンチウィルス・ソフトだと思ってインストールするとウィルスに感染してしまう、「偽アンチウィルス・ソフト」も出回っている。

これに対抗するためには、全ての人が、発見したバグや脆弱性などの情報を公開し、そして共有するべきだ。

●白日のもとにさらすことより優れた解毒剤はない

政府などによって、セキュリティホールとなるバグの存在が秘密にされれば、すべての人が脅威にさらされたままになる。

まず事実を明らかにすることが必要だ。

100年前、米国のある最高裁判事が言った「白日のもとにさらすことより優れた解毒剤はない」という言葉は、サイバー・セキュリティの世界にもあてはまる。

●セキュリティは最も弱い鎖から崩れる

脆弱性は最も弱いパートナーから入り込んでしまう。これを解決するには、全ての人をエンパワー(強化)するしかない。「サイバー防火訓練」というものもある。

サイバー攻撃を受けた時、最初にどうするか、どのような対応を取るか等、防火訓練と同じように日頃から緊急事態に対応する訓練をしておくものだ。

●「ギャップ」を埋める

セキュリティ専門家と、一般の人々、現場の人々とマネジメント、セキュリティ業界とメディアのなど、それぞれの立場でセキュリティに対する考え方や理解の深さにギャップがある。

どんな種類の攻撃なのか、どんな種類のマルウェアなのか、いつ誰に対応したいのか等、より具体的で現実的な対話を行ってギャップを埋めることが大事である。

誠に正しい意見だと思います。特に、「セキュリティは最も弱い鎖から崩れる」と言うのは、まったく、その通りです。

社内にマルウェアが感染するのは、末端のPCです。ウィルスに対する備えがない、「弱い ＝ 知見が無い」社員から感染が始まります。

そのためにも、セキュリティに対する日々の啓蒙活動が重要になります。

-----------------------------------------------------------------------------------------

■今後の対応策

さて、サイバー攻撃の各種事例と心構えを紹介してきましたが、どうですか ?

ここまで紹介すれば、今後、何をすべきかは自ずと解りますよね ?!

「えっ!! 解らない ?」と言う経営者のために、少し具体的な方法を紹介します。

●まずは経営者がITに関与する

まずは、何を置いても、経営者が、積極的にITに関与し、サイバー攻撃とは、どのような脅威/リスクがあるのかを知る必要があります。

孫子の兵法に「敵を知り己を知れば百戦危うからず」と言う言葉があります。

しかし、サイバー攻撃の場合、敵を知っていても、巧妙に、そして標的として狙われた場合は、正直な所、負けてしまうと思います。

会社の取引先を調べられ、取引先からのメールを装ってマルウェアを仕込んだ添付ファイルを送りつけられたら、誰でもファイルを開いてしまいます。

それでも、アンチウィルス・ソフトウェアを導入しておけばマルウェアの侵入を防げるかもしれません。また、サイバー攻撃に対する事前の備えをしておけば、被害を最小限に抑える事が出来るかもしれません。

何れも、経営判断が必要な事ですし、それよりも、現在、サイバー攻撃の矛先として狙われ始めているのは「経営者」と言う恐ろしい報告もあります。

本ブログや過去ブログで、「サイバー攻撃でねらわれるのは末端社員のPC」と言いましたが、実は、日本においては、狙われているのは一般社員ではなく経営者です。

それは何故かと言うと・・・日本においては、経営者のITやセキュリティに対する意識が低いからです。

2016年8月18日付けの「日本経済新聞」に、次のような記事が掲載されていました。

『 一般従業員より、役員の方が、サイバー攻撃が仕掛けたワナにかかりやすい。野村総合研究所の情報セキュリティ子会社「NRIセキュアテクノロジーズ(東京・千代田)」は18日、こんな調査結果を発表した。特定の組織を狙った「標的型メール攻撃」の模擬訓練では、役員が被害に遭う確率が一般従業員より1.6倍高い事が判明した。 』

実際、日本においても、企業としてサイバー攻撃に対する意識が低い、次のような企業は犯罪者に狙われ、トップが謝罪に追い込まれたり、信頼の失墜から売上を大幅に落としたりしています。

→ 軒先、ベネッセ、JTB、GMOペイメントゲートウェイ、資生堂、千趣会、東京大学、サンリオ、ワコール、はとバス、角川文庫・・・etc.

全て記載したらキリがありません。

また故事になってしまいますが「先ずは隗より始めよ」と言う格言がある通り、まずは経営者がサイバー攻撃のリスクを正しく認識し、対応を始める必要があります。

また、前述の「ケレン・エラザリ」氏の警告にもありましたが、「セキュリティは最も弱い鎖から崩れる」と言う事です。

日本の経営者は、ことセキュリティに関しては、社内において、「一番貧弱な鎖」なのかもしれません。

●防災訓練の実施/啓蒙活動の実施

次は、前にも記載しましたが、「サイバー攻撃」の恐ろしさを、経営者を含め、企業全体で認識する必要があると思います。

そして、恐ろしさを認識した後は、サイバー攻撃に備えた組織、体制、仕組みを構築する事です。

サイバー攻撃への備えが出来たら、最後は、その備えの有効性を確認する必要があります。

「サイバー攻撃への対応が出来た !!」と喜んでいても、その対応策が有効なのか、あるいは意味が無い対策なのかを確認する必要があります。

これは、システム開発における、結合試験/総合試験と同じフェーズです。

システムを構築しても、構築したシステムが、正しく稼働しなければ意味がありません。

また、実際に訓練/試験を行う事で、当初は想定していなかった「穴」が見つかる事もあります。

サイバー攻撃への対応が済んだら、絶対に訓練は行った方が良いと思います。

●人材確保

そして、一番難しいのが「人材確保」だと思います。

そもそも、日本においては、セキュリティに関する関心度合いが低かったので、IT系の人材でも、セキュリティのスキルを持つ人材は、なかなか育ちませんでした。

現在でこそ、セキュリティ・スキルに対する人気は上がってきていますが、昔は、もっぱらプログラム開発のスキルにのみスポットが当たっていた状況です。

このため、大企業の情報システム部においても、セキュリティに特化したスキルを持つ人材は皆無で、ほとんどが、業務運用とシステム開発のスキルしか持っていません。

そこで、ここ数年、社内にセキュリティ対応専門の部署を設ける企業が増えては来ていますが・・・上記の通り、情報システム部に、セキュリティ・スキルを持っている社員など存在しませんので、セキュリティ・スキルを、一から身に付ける事となってしまいます。

それでは、どうすれば良いのかと言うと、社内に人材が存在しないのであれば、当然、外部から調達するしかありません。

現在の日本では、セキュリティ・ソフトウェアの開発経験のある人材のヘッド・ハンティングが流行っていますが・・・これも、なかなか難しいようです。

この傾向、つまりセキュリティ担当技術者の不足は、日本のみならず、アメリカを始め、海外でも同じようです。

アメリカの「SC MEDIA」社が発行している「SC Magazine(Secure Computing Magazine)」調査によると、今年は、既に200万人のセキュリティ技術者不足が発生すると予測されているそうです。

アメリカや欧州、それに中国、ロシア等と比較しても、既に「周回遅れ」になっている日本においても、2011年、警視庁に、前身となる「ハイテク犯罪対策総合センター」の名称を変え、「サイバー犯罪対策課」が設置されました。

しかし、「ハイテク」とは・・・何か懐かしい、昭和の響きがする部署名だったのですね。

そして、各都道府県には「サイバー犯罪対策室」が、「生活安全部」配下に設置されているようです。

何れにしても、政府も企業も、セキュリティ専門家の育成は、政府や企業が、今後も存続するための喫緊の課題となっています。

現在も、IT技術者自体、そのものが不足していると言われていますし、さらに、その中でもセキュリティ専門家は不足している状況です。

企業における情報システム部は、利益を生み出さない「間接部門」として、その立場は、かなり低いようですが、今後は、企業存続のためは必要な部署として、部門の地位を向上させ、セキュリティ担当者を育成し続ける必要があると思います。

-----------------------------------------------------------------------------------------

今回と前回とで、サイバー犯罪の最新情報をお伝えしましたが如何でしたか ？

「繋がる世界」では、犯罪者もウィルスも繋がってしまいます。

アメリカやイギリス、その他の国々でも、「反グローバル」を掲げる人物や政党が活気づいていますが、一度繋がった鎖を引き千切るのは無理だと思います。

これはインターネットの世界も同様です。

中国や北朝鮮等の独裁国家では、インターネットへの接続制限をしていますが、ウィルスは、そんな事はお構い無しで拡がって行きます。

事実、「マクロ・ウィルス」の拡散は中国がダントツです。人口が多く、ITインフラが古いので、昔のウィルスが、今でも猛威を振るっているのだと推測されています。

今後、セキュリティ専門家は、国家主導で育成すべきだと思います。

それでは次回も宜しくお願いします。

以上

【画像・情報提供先】
・Wikipedia(http://ja.wikipedia.org/)
・NHK(http://www.nhk.or.jp/)
・THE ZERO/ONE(https://the01.jp/)
・独立行政法人 情報処理推進機構(https://www.ipa.go.jp/)
・日本経済新聞社(http://www.nikkei.com/article/DGXLASDZ18HBO_Y6A810C1TJC000/)

【株式会社 エム・システム】
本      社　 ：〒124-0023 東京都葛飾区東新小岩8-5-5 5F
 　 　 　 　 　 TEL : 03-5671-2360 / FAX : 03-5671-2361
盛岡事業所　 ：〒020-0022 岩手県盛岡市大通3-2-8 3F
 　 　 　 　 　 TEL : 019-656-1530 / FAX : 019-656-1531
E-mail　 　　： info@msystm.co.jp 
URL　　　　　： http://msystm.co.jp/
   　　　　　： http://msystm.co.jp/excel_top.html
ブログ       ： http://d.hatena.ne.jp/msystem/ 
Facebook　 　： http://www.facebook.com/msysteminc