　JC-STARは、共通的な物差しでIoT機器に具備されているセキュリティ機能について、製品貼付のラベルを用いて評価／可視化するための制度だ。政府機関や民間企業から一般消費者に至るまで、IoT機器の購入者／調達者が、JC-STARのラベルを確認することで、自らが求めるセキュリティ水準の製品を容易に選択できるようにすることを目的としている。

　同年5月21日には、IoT機器共通の最低限の脅威に対応するための基準である「★1」のセキュリティ用件を満たす製品に対して、IPA（情報処理推進機構）が「★1適合ラベル」の交付を開始している。対象は11社26申請、製品型番ベースで477製品であり、バッファローでは21シリーズ79型番（法人向け商品20シリーズ76型番、コンシューマー向け商品1シリーズ3型番）に★1適合ラベルが交付されている。

「★1適合ラベル」が交付されているバッファローの製品［クリックで拡大］

2016年のマルウェア「Mirai」の感染拡大が契機に

　会見では、横浜国立大学大学院環境情報研究院教授の吉岡克成氏が過去から現在に至るIoTセキュリティ問題の推移や課題について解説した後、経済産業省商務情報政策局サイバーセキュリティ課課長の武尾伸隆氏がJC-STARの意義や今後の活動について説明。最後に、バッファロー執行役員の富山強氏が、同社のIoTセキュリティやJC-STARへの取り組みを紹介した。

　横浜国立大学の吉岡氏は、2014～2016年をIoT機器へのサイバー攻撃の勃興期に位置付ける。当初、サイバー攻撃者が狙いを定めていたのは遠隔地にあるサーバを操作するための仮想端末ソフトウェア／プロトコルである「Telnet」だったという。「Telnetは便利だったこともありさまざまな機器で利用されていた。また、その多くのパスワードはデフォルト設定もしくは『12345』のような弱いものであり、サイバー攻撃者にとって容易に乗っ取れるようになっていた」（同氏）。横浜国立大学では、脆弱（ぜいじゃく）な機器を模擬した囮システム（ハニーポット）を2014年から運用しており、この状況を確認している。

　そして2016年に登場したマルウェア「Mirai」の爆発的な感染が始まった。当初はアジアと南米を中心にTenlent経由で多くのIoT機器が感染し、これらのIoT機器を踏み台にしたDDoS（分散型サービス拒否）攻撃などが行われていた。一連のMiraiの感染拡大は、世界中の何十万台のIoT機器を実際に乗っ取れることを示し、それらを悪用した攻撃が実社会に大きな影響を与える規模の攻撃を起こし得ることを示した。「Miraiがパンドラの箱を開いたといえる」（吉岡氏）。

「Mirai」がサイバー攻撃者に気付きを与えた［クリックで拡大］出所：横浜国立大学

　2016年の時点で、Miraiと関わるセキュリティインシデントは日本では対岸の火事のような状況だった。しかし、2017年の後半から国内ホストの感染が急増する。これは、それまで一般的だったTelnet経由ではなく、SSH攻撃（SSHのパスワードを総当たりする攻撃）によるものであり、国内で流通するモバイルルーターの大量感染が確認された。さらには、マイクロコントローラーチップ用SDKの脆弱性を突いた攻撃による感染拡大も発生した。その後も、ルーターを中心にIoT機器のさまざまな脆弱性がサイバー攻撃に狙われるようになった。この2017～2020年ごろが、IoT機器へのサイバー攻撃の拡散／多様化期に当たる。

　そして現在、IoT機器へのサイバー攻撃は高度化／深刻化期に入っている。吉岡氏の研究では、2017年以前のIoT機器へのサイバー攻撃に利用されるマルウェアは、主電源操作による再起動や工場出荷状態への復元操作でマルウェア駆除が可能だった。しかし、徐々に持続感染型のIoTマルウェアが出現するようになっていった。吉岡氏は「マルウェアで乗っ取ったIoT機器を用いたbotネットを攻撃インフラとしたサイバー攻撃サービスや、IoT機器を踏み台として提供するIoTプロキシサービスが提供されるなどビジネス化も進んでいる」と指摘する。

　このように脅威度を増すIoT機器へのサイバー攻撃だが、既に世の中にある脆弱な機器やマルウェアに感染している機器を見つけて対処する「発見的対策」だけでなく、これから世の中に出てくる機器をより安全にしていく「予防的対策」も必要だ。吉岡氏は「JC-STARはこの予防的対策に位置付けられる。サイバー攻撃者にとって価値のある脆弱なIoT機器は“サイバーデブリ”と化しているが、新たなサイバーデブリを生み出さないための活動として、JC-STARや同様の海外における取り組みの連携推進が求められる」と述べている。