IoTのセキュリティ対策

近年急速に普及しつつある「IoT(モノのインターネット)」。これは、さまざまな機器をインターネットでつなげることにより、遠隔でそれらのデバイスを制御・操作・認識できるようにする技術です。

IoTを利用することで、たとえば帰宅前にエアコンや照明を点ける、買い物中に冷蔵庫の中身を確認するといった日常的なことから、外出中にカメラで部屋の中の様子を確認して子供やペットの安全を確認する、遠隔医療サービスで家にいながら診療が受けられるなど、さまざまなことが可能になります。

その一方、サイバー攻撃や不正アクセスなどセキュリティ面での問題も指摘されています。

たとえば、防犯カメラをハッキングされて映像をのぞき見されたり、医療IoT機器から医療データが盗まれたりするといったプライバシー侵害の恐れや、最悪の場合、ネットワークに侵入されて個人情報が洩れるといった危険性も無視できません。

この記事では、IoTのセキュリティ問題について見ていきます。

IoTはセキュリティ対策が難しい


IoTのセキュリティ対策は難しいと言われています。それはなぜでしょうか。

まず、IoTでは機器の種類が多岐にわたります。システムレベルでセキュリティが強化されてきたPCなどの通信機器とは異なり、IoT機器の中にはまだセキュリティ対策が十分に施されていないものもあります。

十分に保護されていないIoT機器は、マルウェアへの感染や不正アクセスなどの脅威に弱くなってしまいます。

また、インターネットに接続される機器の数が多いため、ネットワーク侵入の入り口となるエンドポイントが増えます。その結果、侵入する入口を見つけやすく、また侵入経路も多様化します。

さらに、IoTではそれぞれの機器が別の機器やシステムと相互に連携し合っているため、一度システムに侵入されると、その影響が広い範囲に及びます。

特に家電などはマルウェアに感染にしても気づきにくく、「踏み台」として悪用されてしまう危険もあります。

IoTのセキュリティ対策が難しい理由

多くのIoT機器は、これまでパスワードを設定しなくても安全に使用できていました。そのため、ユーザー側が脅威を認識しづらいという面があります。

また、IoT家電などはITリテラシーがあまり高くない人も使用するため、適切なセキュリティ対策がとられていないことも珍しくありません。トレンドマイクロでは、IoT機器のセキュリティ対策として、次のことを推奨しています。

・ネットワークに接続されたすべてのデバイスとその詳細情報を一覧にまとめること
・初期設定のパスワードと設定を変更すること
・修正プログラムを適用すること
・ネットワークを分離すること

この中でも特に、初期設定のパスワードを推測しにくい独自のものに変更することが最も重要です。

また、ネットワークの安全性を保つにはすべての機器についてセキュリティ対策を行う必要がありますが、IoTでは機器も数も大きくなる傾向があり、一部の機器が無防備な状態のまま残ってしまう可能性があります。

同上のトレンドマイクロでは、IoT機器に対する攻撃のリスクを下げるための対策として、脅威の有無をチェックするツール「オンラインスキャン for Home Network」を無料で提供しています。ネットワーク全体の安全性を保つため、このようなツールを使用することも考えてみる必要があるでしょう。

メーカー側の対応についても問題が指摘されています。

たとえば、ユーザーから敬遠されてしまうことを恐れ、ユーザーによるパスワード設定を必須とせず共通のパスワードを初期設定していたり、製品によっては、デフォルトユーザー名やパスワードがインターネット上に公開されていたりすることもあります。

その他、ハードコーディングによりユーザーがパスワードを変更できない、通信が暗号化されていないというケースも見られます。

さらには、メンテナンスを容易化するために設けられているバックドアが不用意な状態で残されている場合もあり、それが機器の脆弱性につながる危険も問題視されています。

IoT機器を狙ったハッキングの例

マルウェア「Mirai」

2016年10月、米国のDNSサービス企業DynがDDoS攻撃を受け、Amazon、Twitter、Netflixなど複数の大手ウェブサービスが5時間にわたって通信不能となる障害が発生しました。これは、同社のIoT機器がマルウェア「Mirai」に感染したことが原因です。

Miraiは、IoT機器を標的とするマルウェアで、IoT機器を感染させてボットネットを形成し、DDoS攻撃を行います。2016年9月にソースコードが公開されたことから、亜種も相次いで出現しました。

海外では、一般市民の日常生活に影響が出る例も報告されています。

ベビーモニターのハッキング

アメリカでは、ベビーモニターのハッキングが複数起きており問題となっていますが、「赤ちゃんを誘拐する」と親を脅迫するケースまで発生しています。

DDoS攻撃で暖房が停止

フィンランドのラッペーンランタでは、2016年11月、ビル2棟で、暖房や水温を管理するコンピューターがDDoS攻撃の被害に遭い、暖房が停止してしまったということです。

ラッペーンランタの11月の平均気温は約2°Cとのことで、最悪の場合は健康への被害も懸念される状況でした。

対話型人形が「スパイ機器」と疑われて販売差し止め

ドイツでは、インターネットに接続すると会話などができる子供向けの対話型人形「カイラ」が、「スパイ機器」として悪用される危険があるとして、連邦ネットワーク庁に使用が禁止されました。

実質的な被害は出ていないということですが、それにもかかわらず販売が差し止められたということは、それだけ、当局が潜在的な危険性を警戒しているということでしょう。

河川用監視カメラのハッンキグ

日本では、2018年4月下旬、河川の水位を監視するなどの目的で設置されていた監視カメラが、不正アクセスのため制御ができなくなり、画面に「I’m Hacked. bye2」というメッセージが表示されるといった被害が、複数の自治体から報告されました。

いずれの場合もデフォルトのパスワード設定を変更せずに運用していたということで、同様の被害は全国で60台以上報告されています。

まとめ:IoT機器のセキュリティには十分注意を

暮らしやビジネスを便利にしてくれるIoTですが、一方で安全上のリスクも存在します。

システムレベルでのセキュリティ対策が整っているPCなどと比べ、IoTは不正アクセスやハッキングなどの攻撃に対してより大きな脆弱性が存在します。

現時点で確実にハッキングを防ぐには、ユーザー側の認識と対策が不可欠です。

最も重要なことは、インターネットへの接続時にパスワードを再設定し、推測しにくいものに変更することです。また、必ずすべてのIoT機器についてセキュリティ対策を実施しましょう。