2017年10月26日、マカフィー株式会社は2018年版の個人向けセキュリティ製品を発表した。同社のオンラインストアおよび量販店にて、11月30日(木)から販売が開始される。総合セキュリティ対策製品「マカフィー リブセーフ」では、クラウドベースの機械学習に対応した「リアルプロテクト」機能がさらに強化された。
そのリリースを前に、米国マカフィー(McAfee LLC)のチーフコンシューマ セキュリティ エヴァンジェリストであるギャリー・デイビス氏に、最新のセキュリティ動向を中心にさまざまなお話を伺った。聞き手はテレビでお馴染みのITジャーナリスト 三上洋氏。
IoTデバイスを狙う脅威に注目
三上 まずは、この1年ほどで、英語圏で起きた特徴的なセキュリティ事象を教えてください。というのも、日本では英語圏から1年~2年遅れて同様の事象が発生することが多いので、参考にしたいと考えています。
デイビス じつは、2018年2月に開催されるMobile World Congressに向けてIoTデバイスを10台ほど入手しました。弊社のチーフサイエンティストにそれらを渡し、脆弱性をチェックしてもらうことになっています。
三上 何か気になることが?
デイビス 2015年にHP社がIoTホームセキュリティデバイス10機種のセキュリティを調査しました。すると、すべてのデバイスに25もの脆弱性が認められたというのです。我々も同様の調査を進め、Mobile World Congressで公表しようと考えています。
三上 つまりIoTデバイスにセキュリティ問題が多いと。
デイビス ここ数年で最もよく知られているIoTの脅威は「Mirai」でしょう。それが目的を変え、作り替えられています。大規模DDoS攻撃だけでなく、ビットコインマイニングやSQLインジェクションといった行為が、Mirai亜種のボットネットによって可能になっているのです。
また最近では、「Reaper」というMiraiを強化したようなボットネットが登場しています。ReaperとMiraiの大きな違いは、Miraiがネット上のIoTデバイスをスキャンしてそのユーザー名やパスワードを特定するのに対し、ReaperはIoTの既知の脆弱性を見つけ出してそこにマルウェアを埋め込んでいきます。
2016年、弊社のラボの研究者の1人が、市販されているデジタルビデオレコーダーを購入して、箱から出したままの状態でネットワークに接続するというテストを実施したところ、わずか64秒で乗っ取られる、ということがありました。つまり、IDやパスワードがデフォルトの状態では、これほどまでに速くマルウェアが侵入するのです。
また、7月に開催されたBlack Hat USA 2017でも、興味深いデモを見る機会がありました。ネットワークに接続されたIoT洗車場システムのデモです。IoT洗車機にセキュリティがまったく施されていなかったために、システムを容易に乗っ取ることが可能だったのです。デモでは、洗車機の入り口のシャッタードアがクルマのボンネットの上に降りてきて攻撃する様子が示されました。
デジタルビデオレコーダーの実験、そしてIoT洗車機の衝撃的な映像を見て、私はIoTデバイスのセキュリティが深刻な事態にあると感じ、チームに話して特に家庭向けデバイスについての調査を実行するように指示したのです。
来年のMobile World Congressでは、マカフィーとしては「IoT暖炉」のようなサンプルを用意できるかと思っています。たとえばそれが攻撃を受け、燃焼の制御を乗っ取られたら家が燃えるような事態になりますからね。