2022.10.25
近年、「モノのインターネット」と訳されるIoT(Internet of Things)が普及し、ますます便利な世の中になっています。しかし便利になる反面、インターネットに接続されたモノがサイバー攻撃を受けるリスクも高まっています。
総務省は、IoT機器に不正アクセスを防ぐ機能の実装を2020年4月から義務化する、と発表しました。インターネット利用者のセキュリティ意識は浸透してきましたが、IoTに関してはまだまだこれからといえるでしょう。
そのため、IoTに関わるエンジニアは、利用者側にとってのセキュリティリスクを理解した上で、ソフトウェアを開発することが求められます。
- もくじ
IoTのある日常生活
IoTによって私たちの生活はどのように変わっていくのでしょうか。ある人の1日を追いながら見てみましょう。
-
起床:1日の始まりは太陽の光を浴びることから。スマホで設定した時間にカーテンが自動で開き、自然の光で心地よく目覚めます。
-
朝食:スマートスピーカーに話しかけると、コーヒーメーカーが自分好みのコーヒーを淹れてくれ、今日の天気とスケジュールを教えてくれます。
-
出社:家を出るときに施錠の必要もなくなります。スマートロックなら自宅の鍵も自動施錠、帰宅時の解錠もスマホ1つでできるようになります。
-
昼休み:昼休みには、自宅にいるペットの様子をネットワークカメラで確認、給餌器を操作してエサやりを行えます。
-
帰宅、就寝:帰宅後も室内の空調が自動で調整され、就寝時にはスマートスピーカーに話しかけてスイッチを押すことなく消灯できます。
このように、インターネットにつながるモノは今後さらに増え、あらゆる情報がインターネットを介して処理されるようになるでしょう。
IoTがサイバー攻撃の対象に
先述の通り、IoTで生活が便利になる反面、インターネット経由でサイバー攻撃を受ける可能性があるということも考えなければなりません。
国立研究開発法人情報通信研究機構(NICT)のサイバーセキュリティ研究所が公開した「NICTER観測レポート2018」によれば、2018年のサイバー攻撃関連通信の約2,121億ものパケットの観測・分析結果が出ています。
サイバー攻撃関連通信を宛先ポート番号(攻撃対象)ごとに集計した結果、2017年は4割近くを占めていたTelnet(23/TCP)がほぼ半減しています。
その代わりに増えたのが、IoT機器で利用されているポートに対する攻撃です。それぞれのIoT機器固有のポートが対象となっているため、より攻撃が高度化しているといえます。
攻撃者がIoT機器それぞれの特性や脆弱性に合わせて攻撃手法を変えているのです。
もしIoT機器が狙われたら?
IoTが身近な存在になればなるほど、これらのサイバー攻撃と隣り合わせの生活をすることになります。
もし、自身が利用しているIoT機器が攻撃対象となると、どのような影響があるでしょうか。
先ほど例に挙げた、生活の中のIoT機器がサイバー攻撃を受けた場合を例に考えてみます。
カーテンの場合、指定した時間に開かない/指定外の時間に開く、などの混乱があるかもしれませんが、それほど大きな影響はないでしょう。
ご紹介した例は個人にのみ被害が及ぶ例ですが、従来のサイバー攻撃と同様に脆弱なIoT機器が「踏み台」にされるリスクも存在します。
特に個人を対象としたIoT機器の場合、ファイアーウォールなどのセキュリティ対策が施されていない環境で利用されていることが大半です。将来的にIoT機器が爆発的に増えてつながるモノの数が増加すれば、その分「踏み台」にされるリスクやその影響範囲が増大することが想定されます。
「Mirai」というマルウェアによる被害をはじめ、セキュリティに不備のあるIoT機器を狙ったインシデントは既に発生しています。
IoT機器を開発する際、搭載するOSやアプリケーションの改ざん防止対策、連携するサーバーやネットワークのセキュリティ対策を強化することが必要になるでしょう。
IoTセキュリティに関する総務省の取り組み
総務省はIoT機器を介したこのような攻撃から国民を守るため、さまざまな取り組みを行っています。
ここでは総務省の2つの取り組みをご紹介します。
IoT機器の防御を義務化
1つ目は、2020年4月から始まるIoT機器(ネットにつながる防犯カメラやDVDレコーダー、ルーターなど)の防御の義務化です。
これにより、基本的なセキュリティ対策を有するIoT機器しか販売できなくなるため、事実上の義務化といって良いでしょう。
総務省「電気通信事業法に基づく端末機器の基準認証に関するガイドライン(第1版)」によると、認定基準のポイントは以下の4つです。
- 不特定多数からのアクセスを遮断する制御機能
- ID・パスワードの初期設定の変更を促す機能
- ソフトウェアを常に更新する機能
- 電力の供給が停止した場合であっても、アクセス制御機能と更新されたソフトウェアを維持する機能
上記のほか「電気通信事業法施行規則」「電気通信事業報告規則」において、IoT用の新たな無線通信技術として注目されるLPWA(※)サービス提供者に対する事故報告基準が盛り込まれます。
これにより、LPWAサービスを提供する電気通信事業者は「3万人の利用者に12時間以上」か「100万人に2時間以上」の障害があった場合、総務省に重大事故として報告することが義務づけられます。
※LPWA:Low Power, Wide Areaの略。低電力で広範囲の通信が可能な無線通信技術のこと。
パソコンやスマートフォンではウイルス対策ソフトやOSの基本機能でサイバー攻撃への対策が整いはじめているものの、いまだ対策が不十分なIoT機器もあります。
これらの義務化により、IoT機器の開発に携わるメーカーや通信事業者のセキュリティ対策が具体的に進むことが期待できるでしょう。
「NOTICE」によるIoT機器調査
2つ目は総務省及び国立研究開発法人情報通信研究機構(NICT)による「NOTICE」です。
NOTICE(National Operation Towards Iot Clean Environment)とは、総務省によれば「インターネットプロバイダと連携し、サイバー攻撃に悪用されるおそれのあるIoT機器の調査及び当該機器の利用者への注意喚起を行う取組」と説明されています。
2016年10月21日にアメリカのDyn社のDNSサーバーに大規模なDDos攻撃(大量の同時アクセスで攻撃対象を機能停止させる)が発生しました。原因であるマルウェア「Mirai」に感染したIoT機器は10万台を超え、多くが簡単なID・パスワードを使用していました。
このような事件もあったため、NOTICEではサイバー攻撃を受ける(もしくは加害者になる)可能性がある機器の利用者に注意喚起を行います。
情報通信研究機構がサイバーインターネット上のIoT機器に、推測しやすいパスワードが使われていないか確認するなどして、サイバー攻撃の対象となりやすいIoT機器を探します。
そして、IoT機器のインターネットプロバイダが利用者を特定し、インターネットプロバイダが利用者に電子メールなどで注意喚起を行います。
利用者のIoTセキュリティへの意識も課題に
このように総務省の法令により、IoT業界におけるセキュリティ意識は高まってきましたが、IoT機器の利用者の意識はそこまで追いついていません。そのため、初期設定値や推測されやすいパスワードによって他人にログインされたり、セキュリティアップデートをしないことが原因で脆弱性を狙われたりする事態が発生する危険性は十分あります。
IoT機器やソフトウェアの開発者はこのような利用者の現状も踏まえた上で、製品開発に携わると同時に、利用者への啓蒙活動も視野に入れた方が良いでしょう。
まとめ
IoT機器がさらに多様化し、生活が便利になればなるほど、サイバー攻撃を受けるリスクも高まります。また、IoT機器は他の機器とネットワークでつながっているため、攻撃を受けた機器だけが被害を受けるわけではなく、接続されているほかの機器まで被害が一気に拡大する可能性があります。
IoT機器開発やソフトウェア開発を行う企業は、開発に携わるエンジニアのリテラシーを高めることが求められるようになるでしょう。
