盗撮、盗聴、サイバー攻撃の踏み台など、IoT機器の新しいセキュリティリスクに備える。

【この記事はIT系ライター M氏 が書きました】

最近、よく耳にするIoTとは?

巷でよく耳にするIoT(アイオーティー)という言葉。
IoTとは「Internet of Things」の略で日本語では「モノのインターネット」と呼ばれています。
従来はパソコンやスマートフォンといった情報端末がインターネットに接続されていましたが、今や自動車や家電などいろいろなモノがインターネットに接続されるようになっています。

代表的なIoT機器としてはGoogleやAmazon、LINEといった名だたる企業が発売して話題になったスマートスピーカーなどが有名です。従来は音楽を楽しむために存在していたスピーカーに音声入力とインターネット接続の機能が組み合わせられたことで、利用者が「今日のニュースは?」と話しかければ最新のニュースをスマートスピーカーが読み上げ、「ダンスミュージックをかけて」といえば対応した音楽配信サービスからプレイリストを再生することも可能です。

そのほか照明機器やテレビ、冷蔵庫といった家電や自動車など様々なものがインターネットに接続されるようになり、その利便性は日々増しています。

急速なIoT機器普及によるセキュリティリスク増加が問題に。

インターネットに接続される便利な新商品が日々開発されている現在ですが、急速な普及によりIoT機器のセキュリティリスクという新しい問題も生まれています。

IoT機器のセキュリティに関しては「Mirai」というマルウェアがアメリカの様々な大手サイトに接続障害を起こした事件が有名です。

マルウェアとは、対象の機器に不正かつ有害な動作をさせる意図をもって作成されたソフトウェアやプログラムの総称です。Miraiはネットワークカメラやビデオレコーダーの脆弱性を突くマルウェアです。これらの機器は初期設定されているパスワードが単純で脆弱なもので、一説にはMiraiに感染したデバイスは50万台以上存在すると言われています。

この時に起きた事件ではMiraiに感染した機器から米DNSサービス事業者にDDoS攻撃が仕掛けられ大規模な通信障害が発生しました。結果、TwitterやSpotify、Netflixなど様々なサービスが長時間に渡って利用できなくなったのです。

DDoS攻撃とはネットワークを介した悪意のある攻撃手法の一つで、標的となるコンピュータに対して複数のマシンから大量の処理負荷を与えることでサービスを機能停止に追い込みます。

パソコンやスマートフォンに比べてセキュリティリスクの高い機器がサイバー犯罪に利用されやすいことが露呈した例と言えます。

個人のプライバシーや命に関わる危険性も・・。

この他にも脆弱な設定のまま使用していたネットワークカメラがハッキングされ、利用者の知らない間に撮影された映像が無断でネット上に公開される事件も起きています。盗撮だけでなく不正に得た情報を元に脅迫被害を受けたり、家族や友人など第三者にまで被害が拡大することもあり非常に悪質なケースです。

また実証実験ではありますが、スマートカーの制御用システムがハッキングされ遠隔操作によりブレーキやハンドル操作が行われるという人命に関わる重大なリスクも指摘されています。

IoT機器導入時のセキュリティ対策として注意すべき点。

IoT機器のセキュリティリスクの事例を挙げてきましたが、リスクを回避するためには 下記の点に注意することが大事です。

◆問い合わせ窓口やサポートがない機器・サービスを購入・利用しない。

IoT機器に脆弱性が発覚した場合、通常は各メーカーがファームウェアの更新等でその対策を行いますが、海外で製造されメーカーが不明なものや、日本国内の製品でも商品が古くサポート期間が終了している、あるいはメーカー自体が倒産して存在しない場合などはセキュリティに問題が発覚してもリスクを抱えたまま利用することになってしまいます。

◆初期設定で利用しない。

インターネットに接続する機器のID、パスワードは初期設定では利用しないようにしましょう。
またパスワードの使いまわしや生年月日や同じ数字の並びなど推測されやすいものは避けましょう。
また機器のファームウェアのアップデートをこまめに確認することも大事です。

◆使用しない機器については電源を切っておく。

WEBカメラや古くなった無線LANルーターなど、使用しなくなった機器の電源は切ってしまう、物理的にネットワークから外してしまうというように、そのまま放置しないことが有効です。

◆IoT機器を手放す場合は確実にデータを消去する。

IoT機器を廃棄する、売買する、貸出する、といった場合は情報を確実に消去することが大事です。特に廃棄や売買であれば廃棄やデータ消去についてノウハウを持っている信頼のおける大手の専門業者に依頼するのが望ましいです。

2020年オリンピックを控え国も動き出した!

IoT機器の急速な普及に際し、サイバー犯罪へのセキュリティ対策は安全・安心な国民生活、社会の経済活動を確保する上で 極めて重要な課題である、として総務省が必要な対策について「IoTセキュリティ総合対策」を取りまとめました。 公表された対策方針の中から代表的なものを挙げると、

◆一定のセキュリティ要件を満たすIoT機器に認証マークを付与する制度を検討。

メーカーに設計・製造段階からセキュリティ対策を徹底させ消費者が購入する際の判断基準を明確にするのが狙いとのことで早ければ2018年中にも実現予定だそうです。この「認証」の部分については消費者にとってセキュアな機器が増えるとされる反面、通信機器メーカーが作る業界団体からは粗悪な製品を排除する意味では有効ではあるものの、日本独自の基準ではなく「国際標準への準拠とするべき」、「第三者機関による認証制度によるコスト増についての吟味が必要」、と慎重な声もあがっています。

◆民間企業等におけるセキュリティ対策の促進。

民間企業において仮にサイバー攻撃の被害を受けた場合に、その被害がサプライチェーン全体に広がる傾向があるもののコスト等が原因で導入が思うように進んでいない状況を鑑みて、高レベルのサイバーセキュリティ対策に必要なシステムの構築・サービス利用に対して税制優遇措置を検討していく。また事業者間での情報共有を促進するための仕組みの構築の必要性も併せて述べられています。

◆公衆無線LANのセイバーセキュリティ確保に関する検討。

2020年の東京オリンピック開催に向けて観光・防災の観点から普及が進んでいる無線LANに関して。
多くの公衆無線LANサービスにはセキュリティに対する配慮が低いものも多く、これらを踏み台にした悪意のある攻撃・情報漏洩などのインシデント発生が懸念されるため、公衆無線LANにおけるセキュリティ上の課題を整理し必要な対策を検討する。

その他にもサイバーセキュリティに対応する人材育成を進める、など多岐に渡ってまとめられています。
セキュリティリスクが減るのは望ましいですが、日本独自の認証取得が必要になれば商品開発に時間がかかるようになり革新的な製品が生まれにくくなるのでは?という声もあり舵取りが難しそうな問題ではあります。

まとめ。IoT時代に必要な備え。

スマートフォンやパソコンの普及により各種SNSで個人でも簡単に情報を公開・取得が可能な時代になりました。
反面、SNS上での個人情報を巡るトラブルがニュースを賑わすことも増えています。IoT機器の増加により今後はさらにセキュリティリスクが高まっていくことが予想されます。突然、自分がサイバー犯罪の被害者になるだけでなく場合によって加害者になってしまう可能性が潜んでいることを認識していくことが大事です。国の対策もまだまだ始まったばかりですのでまずはご自身の環境においてリスクがないかを確認するところから始めてみてはいかがでしょうか。

関連リンク

総務省「IoTセキュリティ総合対策」の公表
http://www.soumu.go.jp/menu_news/s-news/01ryutsu03_02000126.html