パナソニック、IoT製品のセキュリティ対策の状況を説明 ～既存製品をネット上に直接設置し、攻撃情報を収集・分析

　パナソニックは、家電などのIoT製品のセキュリティ対策と強化に関する取り組み状況を説明する、メディアセミナーを開催した。

　セミナーでは、パナソニック 製品セキュリティセンター 製品セキュリティグローバル戦略部 部長・林 彦博氏が、同社 製品セキュリティセンターの沿革について説明した。

　同社で製品セキュリティに関する取り組みが始まったのは2003年で、同社の家電製品がネット接続を開始した頃。当時は本社の研究所で、製品の接続検証やセキュリティ診断など、製品を確実・安全にネット接続するための出荷前評価が行なわれていたという。

　その後2010年には、社外からの脆弱性指摘に対応する機能を備えたPSIRT(Product Security Incident Response Team)を発足。現行の"製品セキュリティセンター"は2016年に設立され、製品等のセキリティに関する情報収集・分析・防御を始め、技術開発や基本方針の策定、社内教育等を行なっているという。

パナソニック 製品セキュリティセンター 製品セキュリティグローバル戦略部 部長・林 彦博氏

同社 製品セキュリティセンターの沿革

　続いて、同部 戦略課 主任技師・大澤 祐樹氏が、加速度的に増加するサイバー攻撃の現状を説明した。警視庁・サイバーセキュリティ対策本部の資料によれば、2018年のサイバー攻撃数は、NICT(総務省所管の情報通信研究機構)のインシデント分析システムの観測数ベースで2,121億パケットあり、これは2013年の観測値の16.47倍にもなる。また、2018年の攻撃のうち、IoT機器を標的にしたものは、全体の48％だったという。

同部 戦略課 主任技師・大澤 祐樹氏

NICTのインシデント分析システムによる、サイバー攻撃観測数推移(左)、2018年サイバー攻撃の内訳(右)

　マルウェアへ感染した機器は、マルウェアを他の機器へ拡散させたり、乗っ取られて悪用されるため、機器の所有者はマルウェアの被害者でありながら、加害者にもなってしまう。

　実際に家電製品がマルウェアに感染した場合は、最も考えられる挙動として、DoS攻撃の踏み台として機能することを挙げた。

マルウェアへ感染した機器は、マルウェアを他の機器へ拡散させたり、乗っ取られて悪用される

　続いて氏は、同社内で現在行なわれている"製品セキュリティ活動"を説明。活動は全5工程あり、製品の出荷以前はリスクの最小化を図るために「机上でのリスク分析」「セキュリティ設計」「セキュアコーディング」「脆弱性診断」を行ない、出荷後は「インシデント対応」を行なっているとした。

　そのセキュリティ活動での課題として挙がっているのが、「巧妙化し進化を続ける攻撃の手口」「特定の機能や製品のみを狙った攻撃」「マルウェア自体の爆発的な増加」「セキュリティ対策のコスト」だという。

　攻撃手口は日進月歩で進化しているため、過去のデータに沿って対策を行なっても、手遅れとなるケースもあるという。また特定の機能や製品を標的にされた場合、実機を使った攻撃詳細の把握も不可欠。

　また、そもそもでマルウェアに感染しにくいものづくりと、低コストでのセキュリティ対策の実施も必要だという。特にコスト面については、メーカーとして製品の販売価格に響かないよう、できるだけ安価に実施したいとしている。

パナソニックで行なわれている、5工程の"製品セキュリティ活動"

セキュリティ活動での課題

　この課題を解決すべく、同センターが現在実施しているのが「Panasonic IoT Threat Intelligenceプラットフォーム構想」。構想は、大別すると「家電を標的にするマルウェアの独自収集」「収集したマルウェアの特徴分析」「プラットフォームを軸にしたIoT製品のセキュリティ強化」の3つに分けられる。

「Panasonic IoT Threat Intelligenceプラットフォーム構想」

　「家電を標的にするマルウェアの独自収集」では、販売中のネットワークカメラ、テレビ、ブルーレイレコーダー、ドアホン、エアコン、洗濯機、冷蔵庫、除湿機を日本、台湾の拠点に設置。ルーター等の配下ではなく、あえてインターネット上に直接設置することで、セキュリティの甘い無防備な状態にした上で攻撃にさらし、各種攻撃に関する情報を24時間365日収集。

拠点の様子は、リアルタイムで攻撃を可視化して閲覧可能。6角形のサイズが攻撃の数に比例。プロトコルの違いが線の色で表現される。複数プロトコルで通信する機器ほど、攻撃に遭いやすいと分かる

　実機で運用することで、より具体的な観測と分析を行ないながら、日々進化するマルウェアとその攻撃への情報を収集しているという。

　2017年11月の拠点開始以降の実績としては、収集したマルウェアの数は、21,972件、そのうちIoTマルウェアは4,718件。これまで機器がマルウェアへ感染した実績はないものの、2機器内に不審ファイルが設置されたことを確認済みだとしており、ファイルと機器のアーキテクチャなどが異なったためにマルウェアが作動しなかっただけで、合致していれば感染していたともしている。

家電を標的にするマルウェアの独自収集

2017年11月以降の、マルウェアの収集状況

　現在の拠点は、台湾と日本のみだが、世界中で製品を販売する同社では、アジア太平洋諸国、米国、EU、中国、インドなどへの展開も予定。これは、サイバー攻撃が政治的な背景をもって行なわれることや、地域や製品の特性に違いがあるからだとしている。

　また今後は、開発中の未発売製品も拠点に設置し、製品に対する攻撃を事前に収集していく予定だという。

攻撃元サーバーと攻撃されている拠点を世界地図上に可視化。こちらもプロトコルの違い画線の色で表現されている。攻撃元はIPアドレスによるものなので、実際の攻撃元地域とは異なる場合もある

　「収集したマルウェアの特徴分析」では、収集したマルウェアの情報を、ARMやMIPSなどのCPUアーキテクチャ、LinuxなどのOSなどで分類した上で、サンドボックス上で実行。特徴的な挙動や通信をログとしてデータベース化するという。情報の分類からデータベース化までは自動で処理されているという。この自動化により、コストを抑えることができ、製品価格をアップさせずにセキュリティ対策が可能になるとしている。

　「プラットフォームを軸にしたIoT製品のセキュリティ強化」には、具体的には「新しい攻撃や脆弱性に対応する製品アップデートの実施」「迅速で効果的なセキュリティ診断」「製品開発者へのフィードバック」などがあるという。なかでもセキュリティ診断については、最新の攻撃事例の即時反映や診断自体の自動化を、開発者へのフィードバックについては、攻撃を受けやすいサービスや脆弱性情報の共有、効果的な対策や優先度の共有、ファームウェア開発計画への反映などが挙げられた。