「モノのインターネット(Internet of Things、IoT)」の時代を迎え、多くの「サイバー資産」がインターネット上に「公開」されている状況が世界的に確認されています。この「公開」の中には、意図的なものもあれば意図せず露出してしまっているものもあり、その多くでセキュリティ対策が適切に施されていないこともわかっています。トレンドマイクロではオンライン検索エンジン「Shodan」を使用し、米国と日本においてインターネット上に公開されている「サイバー資産」に焦点を当てた調査を行いました。その結果、インターネットからアクセス可能な「産業制御システム(Industrial Control Systems、ICS)」の存在など、さまざまな問題点が明らかになりました。
図1:Shodanの画面例
■サイバー資産の公開実態を調査
「サイバー資産」とは、例えば、IoT端末機器にルーター、サーバ、インターネット接続時に使用するソフトウェアなどが挙げられます。こうした「インターネット上に公開」されているサイバー資産の中には、Webサーバのようにそもそも公開目的のものや、管理やトラブルシューティングなどの目的で外部からの接続ができるようになっている場合もあります。しかし、適切ではないセキュリティ対策や手薄な環境設定により意図せず公開されている端末機器も多く存在しており、実害も発生しています。いずれにせよ、外部から接続可能な環境は、外部からの攻撃の影響を受けやすくなることを意味します。
こうしたサイバー資産におけるセキュリティ関連の脆弱性を逐一スキャンすることは非常に面倒な作業です。しかし、問題となる不具合を修復し、改ざんなどの脅威から端末機器やシステムを保護する上では、この作業を避けるわけにはいきません。トレンドマイクロなどのセキュリティベンダでは、公開されているサイバー資産を検索するために Shodanのようなツールを使用することがあります。Shodanとは、インターネットに接続する端末機器をインデックス化するオンライン検索エンジンです。Shodanの検索では、インターネットに接続する端末機器の IPアドレスが表示され、稼働中のアプリケーションやソフトウェア、ファームウェアのバージョンといった詳細が明らかにされます。
トレンドマイクロでは米国と日本に関し、Shodan の検索結果を解析しました。米国については 2016年2月の人口別大都市トップ10のデータを、日本に関しては 2016年3~6月の人口別都道府県トップ5のデータについて調査を行いました。
■Shodanが明らかにした ICSの公開実態
Shodanの検索結果データの解析からは、米国においても日本においても、複数の ICS関連の端末機器、関連プロトコルがインターネットからアクセス可能であることが確認されました。ICSは、工場をはじめ、発電、水処理などの産業施設から、冷暖房空調設備などの関連処理までを運用する際に使用されます。こうした ICS関連のシステムがインターネット上に公開されている場合、攻撃者は、ポートスキャン用ツールである「Nmap」やペネトレーションテストツールである「Metasploit」などの各種正規ツールや手法を駆使して、その情報を収集することが可能となります。こうした情報収集活動は、通常、事前調査段階に行われます。攻撃者は、収集した情報を元に、システムの改ざんや機密情報の窃取、ランサムウェア攻撃、さらに重要な社会基盤(インフラ)に攻撃を仕掛けるなどの手段を得ることになります。
Shodanで明らかになった端末機器には、攻撃者の足掛かりとなるオープンポートが使われていることが判明しました。図2~4は米国での例ですが、インテリジェンスビル用通信の管理機器や ICS用の通信機器が確認され、ICS自体の操作画面にアクセス可能な場合すらありました。
図2:Shodanの検索結果の例1。端末機器の詳細が明記されている
図3:Shodanの検索結果の例2。端末機器の詳細が明記されている
図4:Shodan上で確認された ICSの操作画面と考えられるスクリーンショット例
■判明したICS以外の問題点
これら Shodanの検索データに対するトレンドマイクロの分析からは、公開された ICS以外にも、以下のような問題点が判明しています:
- 公開されているサイバー資産を最も多く抱える都市はロサンゼルス:弊社の調査結果から、ロサンゼルスは、400万以上の公開されている、あるいは、安全対策が施されていない恐れがある端末機器を抱えており、米国の人口別大都市トップ10の中でも最も多いことが判明しました。ロサンゼルスに続き、僅差でテキサス州ヒューストンが 390万の安全対策が施されていない端末機器を抱えていることが明らかになりました。日本の都道府県の中で公開されているサイバー資産を最も多く抱えている東京都が 115万件強であることと比べると、米国都市の方が相対的に高リスクであることがわかります。
- 米国でも日本でも、最も公開されているサイバー資産は Webサーバ、外部にさらされた Eメールサービス、NTPサーバ、データベース:今日の脅威状況の監視から、攻撃者は、通常、Webサーバにまず攻撃を仕掛けることがわかっています。Webサーバはそもそもインターネットに接続されていて当然ですが、それ以外にもさまざまなサーバが攻撃を仕掛けるために狙われています。これらのサーバが侵害されることにより、コンテンツを保有している各企業、およびコンテンツを閲覧する一般ユーザが被害を受ける恐れがあります。インターネット上に公開されているさまざまなサーバを運用する各企業は、サーバのセキュリティ対策を組織の優先事項として取り扱うべきでしょう。
日本では、Webサーバの他にも、外部にさらされている Eメールサービスや NTPサーバが多く、攻撃の踏み台として悪用される危険性があります。また外部にさらされた脆弱なデータベースも日本国内だけで1,500件以上が確認されました。
図5:日本で稼働するインターネットからアクセス可能なデータベースの検索結果例
行政関係や医療関係と推測できるデータがアクセス可能となっていた - セキュリティ更新および脆弱性を抱えるサーバの多くが米国の政府関連機関、教育機関、医療関連機関および公益事業機関が運用するものと確認:このような各産業が直面する多くの攻撃や情報漏えい事例などに鑑みると、各企業は、脆弱性を抱える Webサーバが発端となる攻撃の影響を受けやすいことがうかがえます。一方、救急サービスや金融機関から、公開されている端末機器が確認されることはまれでした。日本ではこのような運用母体に関する傾向は確認できませんでした。
- 米国でも日本でも、公開されている端末機器の多くは、ファイアウォール、Webカメラ、ルーターおよび無線アクセスポイント(WAP)などであることが判明:こうした公開されている端末機器は、たとえセキュリティ上安全なネットワークに接続されていたとしても、攻撃者により侵害され、マルウェアの拡散や「分散型サービス拒否(distributed denial-of-service、DDoS)」の実行に悪用される恐れがあります。
このように米国では、日本と比べても非常に多くのサイバー資産がインターネット上に「公開」されており、より外部からのサイバー攻撃に脆弱である可能性があります。全体的には、重要産業である政府関連や医療関連、金融機関などで多くの端末機器が確認されました。日本では特に、公開された Eメールサービスや NTPサービスが攻撃の踏み台として利用される恐れがあるとともに、情報漏えいにつながりかねない脆弱なデータベースが少なからず存在することも確認されました。各法人組織は、自身が持つ公開されたサイバー資産の存在を十分に吟味し、セキュリティ上の侵害を軽減する対策を施す必要があります。
米国における公開されたサイバー資産に関する詳細な情報および調査結果については、リサーチペーパー「U.S. Cities Exposed in Shodan(英語情報)」をご確認ください。このリサーチペーパーでは、都市別・重要産業別に公開されているサイバー資産について報告しています。また、各企業のネットワークおよびインターネットに接続している端末機器に対する最新のセキュリティ安全対策情報も紹介しています。
参考記事:
- 「What’s In Shodan? Analyzing Exposed Cyber Assets in the United States」
by Numaan Huq, Stephen Hilt, and Natasha Hellberg
翻訳:船越 麻衣子(Core Technology Marketing, TrendLabs)
日本語版構成:岡本 勝之(セキュリティエバンジェリスト)、鰆目 順介(シニアスペシャリスト)