サイバーセキュリティのカリスマが語る、IoT時代の新たな脅威とは

2018/9/25
 インターネットにつながる機器は年々増加し、2020年には300億を超える様々な「モノ(things)」がつながる「Internet of Things(IoT)」が形成されると言われている。
 家電、防犯機器、自動車、医療機器、事務機器、産業機器など、ありとあらゆるものがネットにつながるIoT化の市場に対する影響は多大だ。
 2030年には実質GDPの伸びに、132兆円のインパクトを与えると予測されている。
 今回、TEDなどでも招聘される、世界的に有名なサイバーセキュリティの専門家であるF-Secureの研究所 主席研究員ミッコ・ヒッポネン氏に、『@niftyスマートセキュリティ with F-Secure』を販売するニフティの協力を得て、インタビューする機会を得た。
 また制作には、ソフトバンク・テクノロジーのプリンシパルセキュリティリサーチャーである辻伸弘氏の監修を乞うた。

「インターネット」という概念がなくなる時代

サイバーセキュリティとプライバシーの研究者。1991年より、F-Secureに勤めながらNew York Times、WiredやScientific Americanで研究レポートを書き、メディアに出演している。 スタンフォード大学、オックスフォード大学、ケンブリッジ大学やTEDなどで講義を行う。Web上の最も重要な人として、2011年のPC World誌「FP Global 100 Thinkers」に選出。現在、t2とSocial Safeguardの役員とシンガポールの金融当局の顧問を勤めている。
──IoT時代が到来すると、どのような変化がおきるのでしょうか。
ミッコ まず、すべてのものがみなコンピューターになり、オンラインでつながります。
──すべてですか?
 そうです。電気を使うデバイスは、すべてパブリックなネットワークにつながる。
──冷蔵庫や掃除機もぜんぶ。そんな需要があるのでしょうか。
 この変化は、消費者がネットにつながったデバイスを求めているから起きるわけではありません。デバイスのメーカーが顧客のデータを集めたいがために起きる変化です。データを集めるためには、企業は自社の製品をネットにつなげる必要があるからです。
──なるほど。提供する企業側にその需要があると。
 ネットにつなぐ機能を低コストでデバイスに追加できるようになったら、メーカーはすぐにこれを行動に移すでしょう。
──そんな風に、あらゆるデバイスがネットにつながっていくIoT時代において、もっと大きな変化はなんだと思いますか。
「インターネット」という概念はなくなります。“オンラインで〜”とか、“ネットに接続する”といった言い方そのものがなくなる。つまり、何もかも常にネットにつながっているのが当然の状態になり、デバイスもそれを前提としたものになるということです。
──オンラインの状態が当たり前の、インフラというより空気に近い存在になっていく。
 今はまだWi-Fi時代で、そのような環境は実現していません。近い未来に5G (その後は6G)革命が起き、それが当たり前の時代になるでしょう。
※5G:第5世代移動通信システム。2020年を目指して実用化が進んでおり、高速に大容量の通信を可能にする次世代の通信技術であり、「IoTの普及に必須となるインフラ技術」と言われている。
──今後のネットセキュリティは、今までと意識を変えたほうがよいのでしょうか。
 もはやコンピューターのセキュリティは、コンピューターだけの問題ではありません。私たちの社会は、今やすべてがコンピューターを基盤として回っています。
──すべてがネットにつながるIoT時代になると、その勢いはますます加速しそうですね。
 コンピューターセキュリティ産業で働く人たちは、社会全体のセキュリティを守るという大きな責任を負うことになるということです。
──警察や軍隊に近しい、市民の安全を守る立場ですね。

冷蔵庫がハックされるとなにが危ないのか

──すべてがオンラインにつながる便利さの裏で、どのような脅威がありますか。
 スマートフォンやスマートテレビなど、名前に「スマート」とつく製品は、「脆弱性が高い(vulnerable)」という意味だと思ったほうがいいでしょう。
──なるほど。オンラインに自動でつながって、いろいろなことを勝手にしてくれる「スマートさ」は、知らないうちに乗っ取られるなどの危険性も高まると。
「スマートでない(dumb)」デバイス、つまりネットにつながらない従来式のデバイスはハックされることはありません。しかし、ネットにつながった瞬間、すべての物がハックされる可能性が出てきます。つまり、1998年製の車はハックできませんが、2018年製の車はハックできるということです。
──車はハックされると危なそうです。でも、たとえば冷蔵庫がネットにつながるとして、たいしたリスクはない気がしますが……。
 たしかに多くの人は「ただの冷蔵庫だから大丈夫だろう」と考えてセキュリティを軽視するでしょうね。「冷蔵庫がハックされても、大したことにはならないだろう」というわけです。食べ物が入っているだけですから。
──はい。食べ物が腐るかな、ぐらいかなと。
 一般の人がIoT時代の脅威について考える時、リスクの本質を見誤っていることがよくありますが、基本となる脅威のモデルが間違っているためです。
 ここでの間違いは、ハッカーの狙いは冷蔵庫そのものではないということです。彼らの狙いは、冷蔵庫がつながったネットワークにあります。
──つまり、家庭なり職場なりのネットワークが狙われる。
 ハッカーにとっては冷蔵庫がそのネットワークの入り口になるわけです。IoT機器は、ネットワークの最も脆弱な接続点になってしまうことがよくあります。
 結果的に、朝起きたら家にあるすべてのコンピューターが、冷蔵庫から侵入したハッカーの手によってトロイの木馬でロックされていたといったことになるかもしれません。
──トロイの木馬とは、感染の第一歩となるウィルスですね。
 同じことが、企業ネットワークにも当てはまります。ハッカーはファイアウォールを突破したり、サーバーやノートパソコンから侵入するのではなく、オフィスにあるコーヒーマシンから侵入します。
──今身近にあるネットにつながる機器だと、スマートフォン、スマートスピーカー、ゲーム機などが代表的ですが、セキュリティのリスクはありますか。
 スマートフォンやゲーム機は、実はかなり安全です。優れたプライバシー保護機能は持っていませんが、少なくとも従来型のコンピューターと比べるとセキュリティはしっかりしています。
──意外です。
 スマホやゲーム機はコンピューターと違って、持ち主がプログラムを書き換えられないことが主な理由です。
──なるほど。逆に、セキュリティ業界において、いたずらに恐怖を煽るような、大げさな情報はありますか?
 車のセキュリティがよく話題になっています。たしかに様々な脆弱性が認められる分野ではあるものの、私はそれほど心配していません。
──なぜでしょうか。
 車がハックされると、邪悪なハッカーがブレーキを無効にしたり、道路をはみ出して運転させたりするのではないかと考える人が多いようです。でも、そんなことが起きようとはしていません。今のところハッカーは、無差別殺人には興味がありません。
 現実的にあるとすれば、自動車泥棒が車を盗むためにハッキング技術を使ってアラームを解除したり、システムを遠隔操作して車を動かすことでしょう。それならわかります。プログラムの書き換えによる自動運転車の盗難は、遅かれ早かれ現実になると思います。
──今つながっていなくて、これからつながる意外なモノには、なにがあると思いますか?
「ネットにつながるおむつ」の広告を見たことがあります。他には、スマートマットレスやスマートカーテンの広告も。カーテンを開けるのになんでわざわざネットが必要なのかは謎ですが。

誰がサイバー犯罪を犯すのか

──そもそもセキュリティに脅威を与える相手は、いったい誰なのでしょうか?
 ハッカーには何種類かいて、それぞれ動機が違います。異なるターゲットには異なるテクニックを用いるため、それぞれ違う対策が必要になります。
 たとえばハクティビスト(hacktivist)は、何かに抗議する目的でハッキングをします。また、組織的なサイバー犯罪者もいて、彼らは金銭目的でハッキングをします。政府もハッキングをします。スパイ活動や戦争が動機です。いずれ、サイバーテロリストが出てくる可能性もあります。
──サイバー犯罪と、現実の犯罪はどのように違いますか?
 組織的な犯罪は、現実世界とネット世界の両方に存在します。しかしその2つは全く違うもので、互いにほとんど関係していません。
 オンラインで活動する犯罪組織は非常にバーチャルな存在で、メンバーは現実社会では互いに顔を合わせたことすらない場合がほとんどでしょう。
──過去に出会った犯行で、驚きの手口はありますか?
 ビットコインが一般的に知られるようになるずっと前の2012年に、ボットネットによるマイニング が登場したのには驚きました。犯罪者たちは先を読んで動き、新しいテクニックもすぐに身につけます。
※ボットネットによるマイニング:ウィルスなどを使用して乗っ取った多数のゾンビコンピューターで構成されるネットワークであるボットネットで、 暗号通貨の採掘(マイニング)を、ユーザーのマシンを使っておこなうこと。クリプトマイニングなど。
──一般人である私たちがセキュリティにおいて、気をつけるべきことはありますか?
 とにかくデータのバックアップをとってください。コンピューターも、電話も、タブレットもです。そして、バックアップのバックアップを取ってください。たとえ火事で家が焼け落ちても、バックアップからデータを復元できるようにしてください。
──なるほど。バックアップを二重、三重に取るべきということですね。
 今は、自分の記憶がデバイスの中に保存されている時代です。それをきちんと守る必要がありますから。

家庭のスマートライフにワンランク上の安心を

 ミッコ氏が警鐘を鳴らすように、すべての電子機器がネットにつながるIoT時代はすでに到来しつつあります。
「スマートさ」に必ず潜む危険に対処するには、これまでのPC、スマホへのウィルス対策だけでは不十分。職場でも、街なかでも、家庭でも、守るべき範囲は広がり、その中にひとつでも「穴」があれば標的とされてしまいます。
 さまざまなスマート機器が普及するIoT時代に、『家』をしっかり守ることに着目したのが「@niftyスマートセキュリティ with F-Secure」です。
 専用のセキュリティルーターを設置することによって、安全性の高い独自ネットワークを形成。あとは、家にあるネットにつながる機器を、すべてこのネットワークに接続設定すれば、ミッコ氏がCROを務めるF-Secure社の最新の分析データに基づいて、外部からの攻撃や不審な通信もブロックしてくれます。
 ネットにつながるさまざまな機器も、家にあるものはまとめて守る。アプリによる「見える化」とユーザーフレンドリーな簡単設定、そして「Design From Finland」に認定された美しいフォルムで、スマートライフにワンランク上の「安心」を提供します。
(監修:辻伸弘 構成:中島洋一 デザイン:星野美緒 翻訳:加藤智子 商品写真:山口貴弘 ポートレイト写真