近年、「モノのインターネット」と訳されるIoT(Internet of Things)が普及し、ますます便利な世の中になっています。しかし便利になる反面、インターネットに接続されたモノがサイバー攻撃を受けるリスクも高まっています。
総務省は、IoT機器に不正アクセスを防ぐ機能の実装を2020年4月から義務化する、と発表しました。インターネット利用者のセキュリティ意識は浸透してきましたが、IoTに関してはまだまだこれからといえるでしょう。
今回は日常生活にあるIoTがサイバー攻撃の被害に遭うリスクと、被害を防ぐための6つのセキュリティ対策について解説していきます。
セキュリティ意識を高めるためにもぜひ参考にしてみてください。
- もくじ
1.IoTとは?日常生活にあるIoT
IoTとは、「Internet of Things」の略で、インターネット経由でセンサーと通信機能を持ったモノのことを指します。
具体的にはモノを操作したり、状態を確認できたり、動きを検知したり、通信したりすることができます。
日常生活にあるIoTでいうと以下のようなものがあります。
・スマホで開閉が設定できるカーテン
・外出先からオン/オフができるエアコン
・今日の天気を教えてくれるスピーカー
・自動施錠ができる鍵
・仕事場からペットの餌やりができる給餌器
・防犯カメラ など
このように、インターネットにつながるモノは今後さらに増え、あらゆる情報がインターネットを介して処理されるようになるでしょう。
2.IoTがサイバー攻撃の対象に
先述の通り、IoTで生活が便利になる反面、インターネット経由でサイバー攻撃を受ける可能性があるということも考えなければなりません。
国立研究開発法人情報通信研究機構(NICT)のサイバーセキュリティ研究所が公開した「NICTER観測レポート2018」によれば、2018年のサイバー攻撃関連通信の約2,121億ものパケットの観測・分析結果が出ています。
サイバー攻撃関連通信を宛先ポート番号(攻撃対象)ごとに集計した結果、2017年は4割近くを占めていたTelnet(23/TCP)がほぼ半減しています。
その代わりに増えたのが、IoT機器で利用されているポートに対する攻撃です。それぞれのIoT機器固有のポートが対象となっているため、より攻撃が高度化しているといえます。
攻撃者がIoT機器それぞれの特性や脆弱性に合わせて攻撃手法を変えているのです。
3.IoT機器がサイバー攻撃を受けた場合の影響
IoTが身近な存在になればなるほど、これらのサイバー攻撃と隣り合わせの生活をすることになります。自身が利用しているIoT機器が攻撃を受けた場合の影響について考えてみましょう。
例えば、スマホで開閉ができるカーテンの場合、指定した時間に開かない/指定外の時間に開く、などの混乱があるかもしれませんが、それほど大きな影響はないでしょう。
個人にのみ影響が及ぶ場合は、まだ被害が少ないですが、従来のサイバー攻撃と同様に脆弱なIoT機器が「踏み台」にされるリスクも存在します。
例としては以下のようなリスクが挙げられます。
- IoT機器への不正アクセスによって氏名やログイン情報、クレジットカード情報などの個人情報が流出する
- スマートスピーカーから自宅内の音声が外部に送信される
- 防犯カメラの映像が外部に送信される
特に個人を対象としたIoT機器の場合、ファイアーウォールなどのセキュリティ対策が施されていない環境で利用されていることが大半です。将来的にIoT機器が爆発的に増えてつながるモノの数が増加すれば、その分「踏み台」にされるリスクやその影響範囲が増大することが想定されます。
「Mirai」というマルウェアによる被害をはじめ、セキュリティに不備のあるIoT機器を狙ったインシデントは既に発生しています。
IoT機器を開発する際、搭載するOSやアプリケーションの改ざん防止対策、連携するサーバーやネットワークのセキュリティ対策を強化することが必要になるでしょう。
4.IoTのセキュリティ対策6つ
IoT業界におけるセキュリティ意識は高まってきましたが、IoT機器の利用者の意識はそこまで追いついていません。そのため、初期設定値や推測されやすいパスワードによって他人にログインされたり、セキュリティアップデートをしないことが原因で脆弱性を狙われたりする事態が発生する危険性は十分あります。
IoT機器やソフトウェアの開発者はこのような利用者の現状も踏まえた上で、製品開発に携わると同時に、利用者への啓蒙活動も視野に入れた方が良いでしょう。
この章では利用者が気を付けるべきIoTのセキュリティ対策について解説します。
4-1 初期設定時に端末のパスワードを変更する
IoT機器を初めて使う際は、初期に設定されているID/パスワードを必ず変更して再設定しましょう。パスワードが漏れてしまうと、インターネット経由で機器が乗っ取られ不正利用される恐れもあります。
パスワード設定時には、他の人とパスワードを共有しない、他のパスワードを使い回さない、憶測しやすい生年月日などの数字を使わないなどの点に気をつけましょう。
4-2 SNS連携に注意する
IoT機器の中には、SNSと連携する機能があるものもあります。意識せず連携を許可するとSNSプラットフォームと共有されてしまう可能性があるので、むやみに連携の許可をしないように注意しましょう。
連携が不要な場合はSNSとの接続をオフにしておくことをおすすめします。
4-3 アプリが求める操作の許可に注意する
SNS連携同様に、アプリの中にはスマートフォン内のアクセスを求めるケースがあります。
例えばデータフォルダや連絡先などへのアクセス要求です。不要だと感じた場合は、許可せずアクセス拒否をするようにしましょう。
4-4 定期的にアップデートをする
IoT機器は定期的にメーカーのサイトを確認しアップデートを行いましょう。
アップデートを行うことで、機器の不具合改善だけでなく、セキュリティの脆弱性を修正することができます。
4-5 使用しなくなった機器は電源を切る
使用しなくなった機器は、電源を切るようにしましょう。
電源が付いたまま放置されていると、知らない間に不正にアクセスされ利用されてしまうリスクがあります。
特にWebカメラやルーターなどは使用していなくてもコンセントに繋がれたままのケースが多いです。インターネットの接続を切り、電源コードを抜くようにしましょう。
4-6 機器を手放す際はデータを消す
IoT機器を捨てる、売るなど手放す際は、必ずデータを消してください。データを消さずに手放すと、利用者の個人情報(ログインIDやパス、自宅情報、クレジットカード情報)等が漏れてしまうリスクがあります。
もしデータを消すことができない場合は、物理的に破壊する、専門の廃棄業者に依頼する等、適切に廃棄、処理をしましょう。
また、管理用アプリがある場合は、アンインストールを忘れずに行なってください。
5.IoTセキュリティに関する総務省の取り組み
総務省はIoT機器を介したこのような攻撃から国民を守るため、さまざまな取り組みを行っています。
ここでは総務省の2つの取り組みをご紹介します。
5-1 IoT機器の防御を義務化
1つ目は、2020年から始まったIoT機器(ネットにつながる防犯カメラやDVDレコーダー、ルーターなど)の最低限のセキュリティ対策の義務化です。
これにより、基本的なセキュリティ対策を有するIoT機器しか販売できなくなるため、事実上の義務化といって良いでしょう。
総務省「電気通信事業法に基づく端末機器の基準認証に関するガイドライン(第1版)」によると、認定基準のポイントは以下の4つです。
- 不特定多数からのアクセスを遮断する制御機能
- ID・パスワードの初期設定の変更を促す機能
- ソフトウェアを常に更新する機能
- 電力の供給が停止した場合であっても、アクセス制御機能と更新されたソフトウェアを維持する機能
上記のほか「電気通信事業法施行規則」「電気通信事業報告規則」において、IoT用の新たな無線通信技術として注目されるLPWA(※)サービス提供者に対する事故報告基準が盛り込まれます。
これにより、LPWAサービスを提供する電気通信事業者は「3万人の利用者に12時間以上」か「100万人に2時間以上」の障害があった場合、総務省に重大事故として報告することが義務づけられます。
※LPWA:Low Power, Wide Areaの略。低電力で広範囲の通信が可能な無線通信技術のこと。
5-2 「NOTICE」によるIoT機器調査
2つ目は総務省及び国立研究開発法人情報通信研究機構(NICT)による「NOTICE」です。
NOTICE(National Operation Towards Iot Clean Environment)とは、総務省によれば「インターネットプロバイダと連携し、サイバー攻撃に悪用されるおそれのあるIoT機器の調査及び当該機器の利用者への注意喚起を行う取組」と説明されています。
2016年10月21日には、アメリカのDyn社のDNSサーバーに、大規模なDDos攻撃(大量の同時アクセスで攻撃対象を機能停止させる)が発生しました。原因であるマルウェア「Mirai」に感染したIoT機器は10万台を超え、その多くが簡単なID・パスワードを使用していました。
このような事件から、NOTICEではサイバー攻撃を受ける(もしくは加害者になる)可能性がある機器の利用者に注意喚起を行います。
情報通信研究機構がサイバーインターネット上のIoT機器に、推測しやすいパスワードが使われていないか確認するなどして、サイバー攻撃の対象となりやすいIoT機器を探します。そして、IoT機器のインターネットプロバイダが利用者を特定し、インターネットプロバイダが利用者に電子メールなどで注意喚起を行うのです。
まとめ
IoT機器は日常生活のあらゆるところに存在します。
今後、IoT機器がさらに多様化し、生活が便利になればなるほど、サイバー攻撃を受けるリスクも高まります。
また、IoT機器は他の機器とネットワークでつながっているため、攻撃を受けた機器だけが被害を受けるわけではなく、接続されているほかの機器まで被害が一気に拡大する可能性があります。
IoT機器開発やソフトウェア開発を行う企業は、開発に携わるエンジニアのリテラシーを高めることが求められるようになるでしょう。