中国製通信機器製品排除にみるサイバー攻撃の実態

byニューデイズ個人事務所 山我 真之 -
0
1. 米国による中国製通信機器の販売禁止措置とその背景

米国の連邦通信委員会(FCC)は、2022年に国家安全保障上のリスクを理由に、中国の特定企業(Huawei, ZTE, Hytera, Hikvision, Dahua)が製造する通信機器や監視カメラの国内での新たな認証を拒否し、輸入・販売を実質的に全面禁止しました。

最大の理由は「国家主導の諜報・破壊活動の防止」と「サプライチェーンの根本的な保護」です。対象国の法律(中華人民共和国国家情報法)により企業が国家の情報活動に協力する義務があるという事実が存在します。ハードウェアやファームウェアの設計・製造段階で意図的なバックドア(不正アクセス経路)が組み込まれた場合、後からソフトウェア上のセキュリティパッチを適用しても防御することは極めて困難であるため、供給網からの物理的な排除が実行されました。

情報源:FCCプレスリリース(2022年11月25日) 2. ファームウェア・ハードウェアへのエクスプロイトが脅威である理由

一般的なアプリケーションの脆弱性とは異なり、ハードウェア層への攻撃が特に恐れられる理由は主に以下の2点です。

  • 検知の困難性: OS(オペレーティングシステム)やアンチウイルスソフトよりも深い最下層で動作するため、上位層で動作する一般的なセキュリティツールからは監視の目が届かず、不正な挙動を完全に隠蔽されます。
  • 脅威の永続性: 一度ファームウェア等に感染すると、OSの再インストールやストレージの初期化を行っても基板上の不正コードは消去されず、システムの最高権限を永続的に掌握されます。
情報源:NIST(米国国立標準技術研究所)が定めるSP 800-193 3. 監視カメラ等へのサイバー攻撃の実態と攻撃者の目的

直近10年間の代表的なインシデントとして、2016年のMirai(ミライ)による大規模DDoS(分散型サービス拒否)攻撃(初期パスワードのままの機器が数十万台規模でボットネット化された事件)や、2021年のVerkada(ヴェルカダ)に対するハッキング(約15万台のカメラ映像への不正アクセス事件)が存在します。これらの事実から、攻撃者の主な目的は以下の3点に分類されます。

  • 計算資源のハイジャック: 機器を乗っ取り、DDoS攻撃や暗号資産マイニングのためのボットネットとして悪用する。
  • 機密情報の窃取: 映像データそのものにアクセスし、企業の機密情報やプライバシーを侵害する。
  • 内部ネットワークへの侵入: セキュリティの手薄なカメラを最初の侵入口とし、そこから社内の基幹システムへ横展開(ラテラルムーブメント)する。
4. 店舗・SOHO向けセキュア設計のベストプラクティス

これまでの説明は国家レベル級のサイバー攻撃で、小規模の対象にはこうしたリスクは当てはまらないのでしょうか。現在、ダークウェブの流行や生成AIの悪用によって、高度なサイバー攻撃が大衆化してい流と言われています。そのため、むしろ管理者のいない無防備な小規模ネットワークは格好の攻撃対象となっています。ゆえに上記の脅威から小規模ネットワークを守るためには、高価な設備投資に頼らずとも可能な次のような対策が不可欠です。

  • ネットワークのセグメンテーション(分離):
    市販ルーターのゲストWi-Fi機能を活用し、業務用PCやレジシステムが接続されるメインのSSIDと、監視カメラが接続されるSSIDを論理的に分離します。これにより、カメラが侵害されても業務データへの横展開を阻止します。また、外部からの意図しない侵入経路となるルーターのUPnP(ユニバーサル・プラグ・アンド・プレイ)機能は必ず無効化します。
  • エンドポイントFW機能によるポリシーコントロール:
    小規模環境のゼロトラスト対策として、カメラや録画用NAS(ネットワーク接続ストレージ)に内蔵されているIPアドレスフィルタリング(ホスト型FW)機能を厳格に設定します。管理者のPCなど、特定のIPアドレスからの通信のみを許可し、それ以外の通信を端末側で自動的に拒否するポリシーを適用します。
  • 機器選定と維持管理の容易さ:
    エクスプロイトを防ぐにはファームウェアの継続的な更新が必須です。例えば監視カメラですとクリューシステムズやi-PROのように、セキュリティポリシーを明示し、長期間にわたりアップデートを提供するメーカーを選定します。同時に、物理的デバッグポート(UARTなど)が塞がれているだけでなく、TelnetやFTPといった不要な論理ポートを管理画面からユーザー自身で簡単に無効化・管理できる製品を選ぶことが重要です。
情報源:IPA(独立行政法人情報処理推進機構)が公開する中小企業の情報セキュリティ対策ガイドライン 5. 本資料の補足
  • 規制対象機器の内部において、具体的にどのような物理的バックドアの仕組みが発見されたかの技術的証拠については、国家機密に関わるため公開情報からはわかりません。
  • 過去のボットネット攻撃において、末端のカメラに感染させた背後にいる全攻撃者の正確な身元や国家関与の有無についての公開情報はありません。
  • 未知のハードウェア脆弱性(ゼロデイ)が現状どれだけ市場の機器に潜んでいるかについても公表されていません。
  • 市場に流通する安価なIoT製品におけるサプライチェーン管理の実態や、正確なEOL(サポート終了)時期については明示されていないことが多い。
Tags

おすすめの投稿

コメントを投稿