あなたのラズパイは穴だらけ？ ユーザーが検討すべき脅威への対策：ラズパイのセキュリテイ対策（前編）（1/2 ページ）

インターネットに接続されている世界のRaspberry Piは、どれほどセキュリティリスクにさらされているのか。また、Raspberry Piをサイバー攻撃の呼び水にしないためにどのような対策を施せば良いのか、トレンドマイクロでセキュリティエバンジェリストを務める岡本勝之氏の分析概要を聞いた。

[松本貴志，MONOist]

　2019年6月、米国航空宇宙局（NASA）のジェット推進研究所がこれまでに複数回のサイバー攻撃を受け、研究データが窃取されたことが明らかとなった。2018年4月に受けたサイバー攻撃で侵入の糸口となったのは「Raspberry Pi」。同研究所でIT機器を監理するOCIO（Office of the Chief Information Officer：最高情報責任者室）の承認を受けず、研究所ネットワークに無許可接続されていたものだった。

　安価かつ気軽にIoT（モノのインターネット）環境を構築できるRaspberry Piは、個人利用に加えて産業利用でも注目を集めている。スマート工場の立役者として、クラウドと機器をつなぐエッジデバイスとして活用されることも増えた。その一方で、「脆弱性を抱えたままインターネットに接続されているRaspberry Piは非常に多く、サイバー攻撃を受けるリスクが高い。ユーザーはケアを適切に行うべきだ」と、トレンドマイクロでセキュリティエバンジェリストを務める岡本勝之氏は警鐘を鳴らす。

　インターネットに接続されている世界のRaspberry Piは、どれほどセキュリティリスクにさらされているのか。また、Raspberry Piをサイバー攻撃の呼び水にしないためにどのような対策を施せば良いのか、同氏の分析概要を聞いた。

トレンドマイクロの岡本勝之氏

Rasberry Piが陥るサイバー攻撃リスクの現状

MONOist　企業でも産業用途でRaspberry Piを利用するケースが増えています。

岡本勝之氏　NASAのジェット推進研究所がサイバー攻撃を受けていたことが、2019年6月に発表されたレポートで分かった。研究所のネットワークに侵入されて重要な情報が漏洩した事例だ。そのレポートでは攻撃の詳細は報告されていないが、システム管理者が適切にレビューしていない、勝手に設置されたRasberry Piがサイバー攻撃を受ける発端となったと指摘している。いわゆるシャドーITとしてRaspberry Piが運用されていた。

　企業のIoT導入が進むと、勝手にネットワークに設置されてしまうデバイスも増える可能性がある。Rasberry Piは他のIoTデバイスと比較してPCのように汎用性が高い。サイバー攻撃の踏み台にされると、ネットワーク内でさまざまな攻撃に転用されてしまう。Rasberry Piは他のIoT機器と同様のセキュリティ対策では不十分な部分もあるので、PCと同様の観点で対策をすべきだ。

MONOist　具体的にはどのようなリスクがありますか。

岡本氏　Raspberry Piは、PCと同様にOS（オペレーティングシステム）によってハードウェアを管理している。公式OSの「Raspbian」は簡単に導入できるため、これを用いるユーザーも多い。一方で、Raspbianではデフォルトユーザー（pi）のパスワードが初期設定されており、設定を変更しない場合には侵入リスクが非常に高い（編注：初期設定では、デフォルトユーザーはスーパーユーザーの特権を利用するコマンド「sudo」をパスワードなしで実行できる）。

　WindowsなどはOSを自動アップデートする機能があるが、デフォルトのRaspbianには自動アップデート機能はない。ユーザーが意識的にOSや利用するアプリケーションのアップデートをケアする必要があり、他のIoT機器よりも気を付ける点は多い。

MONOist　セキュリティリスクを抱えたRaspberry Piは多く存在しているように見えます。

岡本氏　トレンドマイクロでは、Raspbianが稼働しているRaspberry PiをSHODAN（編注：インターネットに接続されている機器を検索できるWebサービス）で探した。その結果、世界で20万台を超えるRaspberry Piがインターネットに接続していることが分かった。

　インターネットに露出するRaspberry Piで、最も稼働しているサービスはOpenSSHだ。Raspberry Piをリモート管理したいというニーズがあるためだろう。一方で、インターネットにSSHを露出しているのは不正ログイン攻撃を想定していないとも考えられる。幸いにも、SSHを露出しているRaspberry Piユーザーはセキュリティ意識をしっかり持っている人も多いらしく、単なるパスワード認証でなく証明書認証を使う人もいるようだ。

世界のRaspberry Piで稼働するアプリケーション（クリックで拡大） 出所：トレンドマイクロの調査結果に基づきMONOistが作成

　次に多く稼働しているサービスは、WebサーバのApache httpdだ。Raspberry Piでインターネットに向けてサービスを提供するとは考えにくいので、その多くは社内向けに稼働させていると思われるが、結果としてインターネットにも露出してしまったようだ。

　OpenSSHとApache httpdのどちらも、インターネットに露出しているサービスのほとんどは深刻な脆弱性を抱えているバージョンだ。また、トレンドマイクロがRaspberry Piの業務利用ユーザーに実施したアンケートでは、サイバーセキュリティ対策でユーザー管理などを重要視する回答は多かったが、OSS（オープンソースソフトウェア）の脆弱性管理を重視しているユーザーは少なかった。

インターネットに露出しているRaspberry Piで稼働するOpenSSHのバージョン（クリックで拡大） 出所：トレンドマイクロの調査結果に基づきMONOistが作成

インターネットに露出しているRaspberry Piで稼働するApache httpdのバージョン（クリックで拡大） 出所：トレンドマイクロの調査結果に基づきMONOistが作成

　これらの点を鑑みると、他のIoT機器と比較してRaspberry Piはインターネットに露出したときのサイバー攻撃リスクは高い。他の機器はベンダー側がセキュリティアップデートを適用してくれるが、Raspberry Piはシステム構築の自由度が高い反面、セキュリティの盲点にもなりえる。

　また、クローズドなネットワークでサービスを利用しているからポートを開けても良いという考え方はやめるべきだ。当初想定していた用途から転用してインターネットに接続した場合に予期せぬ抜け穴が存在することになる。また、クローズドなネットワークだと思っていたが、実は他のネットワークにつながっていたという事例も多い。