IoTセキュリティ対策の重要性と被害に遭わないための対策方法

——いま使っているそのIoT機器、セキュリティリスクに晒されていませんか？——

近年、急速に実用化が進むIoT（Internet of Things）は「モノのインターネット」と訳され、あらゆるモノがインターネットに接続できるようになる技術を指します。IoTはスマート家電や自動運転車といった製品のほか、製造業であれば遠隔で機械を制御できるようになるなど、ビジネスの場でも活用が広がっています。

IoT導入によって生活や仕事が便利になる一方、セキュリティリスクを孕んでいることをご存知でしょうか。今回はIoTセキュリティ対策の重要性について解説していきます。代表的な対策法もお伝えしていきますので、「リスクがあるなんて知らなかった」「リスクは理解しているけれど対策がとれていない」という方はぜひ参考にしてください。

IoT導入時にもセキュリティ対策は必要

IoTに対するユーザー側のセキュリティ意識はまだ低いと言われていますが、しかしパソコンなどと同様にIoT機器・システムを使用する際にもセキュリティ対策は欠かせません。

IoTはたびたび脆弱性が指摘され、サイバー攻撃などの標的になっています。脆弱と言われる背景には、IoTは性能が限定的なため強固なセキュリティの仕組みを搭載するリソースがないこと、また、なかには自動車などライフサイクルが長い機器もあり、購入時点で適用されていたセキュリティ対策が時間の経過と共に不十分になることなどが挙げられます。

IoTのセキュリティについては2016年7月に総務省・経済産業省が「IoTセキュリティガイドラインver 1.0」を公表し、IoTの性質とリスクを考慮したセキュリティ対策を促しました。また2020年4月には総務省が 「端末設備等規則及び電気通信主任技術者規則の一部を改正する省令（平成31年総務省令第12号）」を公布し、IoT機器の製造業者に対し、セキュリティ対策機能の実装を義務化させました。

しかし2020年12月に総務省サイバーセキュリティタスクフォース事務局が公表した「サイバー攻撃の最近の動向等について」では、 「IoT機器を狙った攻撃は依然として多い」 と伝えており、セキュリティ対策がまだ不十分であることが分かりました。IoT機器の製造業者の対応はもちろん、ユーザー側もセキュリティに意識を向け、リスクに備えていかなければなりません。

参照： 「IoT セキュリティガイドラインver 1.0」 （総務省・経済産業省）

参照： 「端末設備等規則及び電気通信主任技術者規則の一部を改正する省令（平成31年総務省令第12号）」 （総務省）

参照・出典： 「サイバー攻撃の最近の動向等について」 （総務省 サイバーセキュリティタスクフォース事務局）

IoT導入に伴うリスク

ではもしセキュリティ対策を怠った場合、どのようなリスクあるのでしょうか。リスクを知ることでセキュリティ対策の必要性・重要性をさらに学んでいきましょう。

サイバー攻撃に遭う

サイバー攻撃とは、ネットワークを通じてシステムを破壊したり改ざんなどを行ったりすることです。たとえば企業のIoTシステムが破壊されれば業務が停止し、企業に機会損失などが起きるリスクがあります。最近のサイバー攻撃は攻撃の足跡を残さないテクニックが身につき、加害者が特定しにくくなっていることも問題です。

情報が窃取される

IoT機器が乗っ取られ、情報が窃取される可能性もあります。たとえば防犯カメラが乗っ取られれば、社内の様子がインターネット上に晒されたり、機密情報が漏洩したりするリスクがあります。顧客情報など個人情報が流出すれば、賠償責任を問われるかもしれません。

踏み台攻撃に利用される

踏み台攻撃とは、攻撃者が第三者のパソコンなどを乗っ取り攻撃に使用することを言います。踏み台攻撃に利用されれば、知らないうちにスパムメールの送信元になったり、不正アクセスの中継地点になったりしてしまうかもしれません。本来乗っ取られた側は被害者です。しかし知らないうちとはいえサイバー攻撃などに加担することで攻撃者と疑われ、社会的信頼を失うリスクがあります。

実際にあった攻撃の事例

次に、実際にあった攻撃事例を見ていきます。

マルウェア「Mirai」による攻撃

マルウェアとはコンピュータウイルスをはじめ、悪意のある不正プログラム・ソフトウェアの総称です。「Mirai」はIoTの脆弱性を狙って攻撃し、不正ブログラムをダウンロードさせることで遠隔操作を可能にします。Miraiは“感染力”を持つのが特徴で、感染した機器同士を連携させ、一つの攻撃対象に一斉攻撃できる体制をつくります。実際アメリカで、Miraiに感染した機器を踏み台にした大規模攻撃があり、大手SNSや動画配信サイトがアクセス不能になる事件がありました。

遠隔操作による犯罪予告事件

日本で、他者のPCを遠隔操作し犯罪予告が行われる事件が起きました。自治体のホームページに犯罪予告をしたことで威力業務妨害罪としてAさんが逮捕されましたが、後の捜査でAさんは犯人ではないことが判明。真実はAさんのパソコンがコンピュータウイルスに感染しており、真犯人がAさんのパソコンを遠隔操作し犯罪予告の書き込みを行っていたというものでした。

参照： 「国民のための情報セキュリティサイト 事故・被害の事例 事例10：自分の名前で勝手に書き込みが…」（総務省）

参照：「安心してインターネットを使うために 国民のための情報セキュリティサイト」（総務省）

保育カメラの乗っ取り

防犯、子どもやペットの見守りなどでの利用が増えているネットワークカメラ。インターネットに接続できるため、こちらも乗っ取りのリスクがあります。アメリカで保育用のネットワークカメラが相次いで乗っ取られ、何者かが子どもに話しかけたり、罵声を浴びせたりするといった事件がありました。ネットワークカメラは家庭用だけでなく、企業でも監視・防犯目的で使用することも多いため、注意が必要です。

被害に遭わないためのセキュリティ対策

マルウェアの新亜種が発見されるなどリスクは常に隣り合わせ。セキュリティ対策の重要性が高まるなか、被害に遭わないためにはどのような対策を行えば良いのでしょうか。対策を知り正しく備えていきましょう。

IoT機器・システムの棚卸し

まずは企業や自宅で管理しているIoT機器・システムの棚卸しをするところからはじめましょう。棚卸しを行うことで現状が把握でき、どのような対策が必要なのかを考えやすくなるメリットがあります。棚卸しの際には、IoT機器がどのネットワークを介してシステムに接続しているのかといった通信経路も併せて確認します。機器の通信経路を確認することで「必要がないのにネットワークに接続していた」といった機器が見つかるかもしれません。

具体的な対策

IoT機器・システムは多様化しているため対策もそれぞれ異なります。ここでは代表的なものをいくつかご紹介します。

初期設定パスワードの変更

IoT機器では一番簡単な対策であるものの、対応していないケースはまだ多く見受けられます。先述した「Mirai」も、パスワードが初期設定のままだったことが原因で感染したケースもあるようです。辞書に載っている単語や人名などを組み合わせたパスワードは「辞書攻撃」によって見破られてしまうため、複雑で破られにくいパスワードを設定しましょう。

ファームウェアのアップデート

ファームウェアとはパソコンや電子機器に内蔵されている、機器を動作させる役割を持つソフトウェアのことです。どのようなIoT機器であっても脆弱性が潜む可能性があるため、常に新しいファームウェアにアップデートしておきましょう。なかにはマルウェアが仕込まれ改ざんされたものもあるため、ファームウェアは正規のサイトから手に入れることが大切です。

ポート管理

ポートとはネットワークとパソコンをつなぐ出入り口のようなものです。ポートにはそれぞれ番号があり（ポート番号）、通信を行う際はIPアドレスと共に使用されます。近年、IoT機器の操作用に使用される23番ポート(telnet)への攻撃が増えてきました。先述したファームウェアのアップデートのほか、不要な開放ポートを放置しないといった管理が必要です。

まとめ

スマート家電や自動運転車といった身近なものから、製造業や医療業界などビジネスの場でも実用化が進むIoT。生活や仕事が便利になる一方、モノがインターネットに接続されることでサイバー攻撃をはじめとしたリスクと隣り合わせになることを、私たちは理解しておくべきです。

セキュリティ対策を怠った先で待ち受けているのは、システムが破壊され業務が停止したり、顧客情報が窃取され社会的信用を失ったりといった、事業継続を揺るがしかねない大きな不利益かもしれません。

しかしリスクを知ることで、正しく対策ができるのも事実です。

企業にお勤めの方であれば、仕事で使っているIoT機器を確認し、パスワードの変更やファームウェアのアップデートがきちんと行われているかを確認するところからはじめてみてはいかがでしょうか。同じチーム・部署の方々と、IoTセキュリティについて話し合ってみるのも良いかもしれません。

安心してIoT機器・システムを活用するために、セキュリティ対策を進めていきましょう。