セキュリティ対策が十分でないIoT機器への攻撃が大幅に増加、NRIセキュアの企業セキュリティ動向分析

　NRIセキュアテクノロジーズ株式会社（以下、NRIセキュア）は26日、顧客企業に提供した情報セキュリティ対策サービスを通じて蓄積したデータを元に、最新の動向分析と推奨する対策をまとめた｢サイバーセキュリティ傾向分析レポート2017」を発表した。

　レポートは、企業や公的機関の情報セキュリティ対策の推進を支援する目的で、2005年度以降毎年発表しており、今回で13回目となる。

　今回のレポートでは、「セキュリティ対策が十分でないIoT機器への攻撃が大幅に増加」「HTTPS通信（暗号化通信）への移行が加速する一方、新たな問題が浮上」「企業ウェブサイトのうち、4割が容易に攻撃可能な状態」の3点を注目点として挙げている。

　NRIセキュアが提供するマネージドセキュリティサービスにおいては、2016年度中にファイアウォールでブロックした通信（全標本数22.6億件）のうち、48.1％（10.9億件）が遠隔操作に用いられるtelnetポートへの通信で、2015年度の1.7億件に比べると約6.4倍に増加した。

　現在、多くの企業では、外部からtelnetポートへの通信を許可しないことが一般的だが、それにも関わらずこうした通信が急増した背景として、アクセス制限が行われていないウェブカメラやルーターなどのIoT機器を探索し、侵入しようとする通信が増えたことが大きな要因と考えられると分析。気軽に使えるようになったこれらの機器が脆弱な状態にあると、DDoS攻撃の踏み台になるなど、悪用される可能性があるとしている。

　IoT機器の利用者に対しては、使用前にアクセス制限や機器そのものの設定などを適切に行うことが推奨されるとして、機器メーカーには標準仕様で必要なセキュリティ機能を持たせることや、販売後においても脆弱性が発覚した時には速やかに対応できる体制を整えることが必須になっていくと指摘している。

　HTTPS通信への移行については、NRIセキュアの「FNCセキュアインターネット接続サービス」において、ウェブアクセスに関するログ（調査対象企業数20社）を集計したところ、HTTPS通信の割合が2016年4月の19％程度から、2017年3月には40％にまで増えた。

　従来、HTTPSはウェブサイト内にあるログイン画面や個人情報など、機密性の高い情報を扱うページの暗号化のために利用されてきたが、昨今では大手インターネットサービス会社の全ページがHTTPSに移行されるなど、重要情報の有無に関わらず、サイト全体を暗号化する企業が増えていると説明。

　HTTPSが広く使われるようになったことにより、セキュリティ強化が期待される一方、暗号化された通信は通信経路上で内容の検査ができず、従来行われてきた通信経路上のセキュリティ対策ができなくなる問題が浮上していると指摘。また、多くのクラウドサービスがHTTPS通信で暗号化されているため、サービスを利用する企業が従業員の利用状況の可視化や統制がしづらくなるという問題も出てきており、HTTPS化の流れが進む中、企業はこの問題を認識し、HTTPS化に対応したセキュリティ対策の実施が求められるとしている。

　企業ウェブサイトのセキュリティ対策状況については、顧客企業に関連するウェブサイトを探索し、棚卸しするサービス「Webサイト群探索棚卸サービス GR360」で、NRIセキュアが2016年度に調査したウェブサイト（全標本数4039サイト）のうち、4割が容易に攻撃される可能性があった。

　古いバージョンのソフトウェアを使用し続けていたり、IDとパスワードの単純な認証だけで保護されているメンテナンス用インターフェースが外部に公開されていたりすると、そのウェブサイトでは容易に攻撃が成立する可能性があります。こうしたサイトは、マーケティングキャンペーンのサイトや、中小企業のコーポレートサイトに多くみられており、背景にはCMSを利用することで、専門的な知識をそれほど必要とせず、比較的容易にウェブサイトを構築できる反面、セキュリティの堅牢化に関するノウハウが十分に提供されていないことが挙げられるとしている。

　NRIセキュアでは、企業全体のウェブサイトのセキュリティ水準を維持するためには、まず、自社のウェブサイトの存在をセキュリティの管轄部門が把握することが重要だとして、その上で、一元的な管理を行い、サイトの安全性が一定の水準を満たしているかを検証することが望ましいと指摘している。