どう対策すべき? IoTのリスクとセキュリティ対策

IoT機器・IoTシステムの普及に伴って、セキュリティ対策の一層の強化が強く求められています。IoTにはどのようなリスクがあり、またどのようなセキュリティ対策が有効なのでしょうか。国が策定した「IoTセキュリティガイドライン」などを参考に、IoTのセキュリティ対策について解説します。

IoTにおけるセキュリティ対策の重要性

IoT機器が普及する一方で、IoT機器を対象としたサイバー攻撃が増加し続けています。

たとえば2016年に発見された「Mirai」というマルウェアは、IoT機器に感染すると周囲の機器にも感染範囲を拡大し、ボットネットと呼ばれる攻撃用のネットワークを構築します。この仕組みを使ってコンピュータセキュリティに詳しいジャーナリストのサイトやインターネット関連企業、プロバイダなどが大規模で破壊的なDDoS攻撃を受けたことが話題になりました。

つまりIoT機器がマルウェアに感染するとさらに多くの機器が感染し、それらの機器が踏み台として利用されて、Webサイトや企業のサーバーが攻撃されるという図式が作られているわけです。

また、IoTを狙った攻撃にはほかにもIoT機器の動作を停止させるもの、破壊するものなどがあります。また制御が乗っ取られる可能性、通信を傍受(盗み見や盗聴)されるおそれなども指摘されています。

IoTセキュリティガイドラインとは

日本では2016年7月に、総務省と経済産業省、IoT推進コンソーシアムが共同で「IoTセキュリティガイドライン」を策定しています。

IoTセキュリティガイドラインはIoT機器やシステム、サービスの供給者、それらの利用者を対象として作られたガイドラインです。サイバー攻撃などによってモノ(IoT機器)やユーザーの安全、さらには個人情報や技術情報などの重要情報に危険が及ぶ可能性があることを認識したうえで、IoT機器やシステム、サービスに対する適切なサイバーセキュリティ対策を検討するための考え方が、分野を特定せずまとめられています。

同ガイドラインでは、「方針、管理」「分析」「設計」「構築、接続」「運用、保守」という5つの指針が掲げられています。それぞれの指針ごとにどのようなセキュリティ対策を施すべきかというポイントと対策例をまとめ、また一般利用者向けのルールも示しています。

IoT機器・システムがさらされるリスク

サイバー攻撃などによって、IoT機器やシステムにはどのようなリスクにさらされるのでしょうか。

上述した「Mirai」などのマルウェアによるIoT機器を踏み台に使うサイバー攻撃は現在も脅威となっています。MiraiはIoT機器のIDやパスワードを総当たり攻撃(ブルートフォースアタック)してログインを試みます。この総当たり攻撃で突破されやすいのは、工場出荷時のデフォルトのパスワードをそのまま使用しているようなIoT機器です。

また、2017年には「BrickerBot」というマルウェアも見つかっています。こちらはIoT機器に感染するとその内部ストレージを破壊し全ファイルを消去するという、より悪質化したマルウェアです。

プライバシーが侵害される可能性もまた、IoT機器・システムの問題点です。2014年と2016年には、世界中のネットワークカメラやIP監視カメラの映像がブラウザで閲覧できるロシアのWebサイト「Insecam」の存在が話題になりました。このサイトには世界全体でおよそ2万8000ヵ所、日本国内のカメラ映像も6000ヵ所以上がインデックスされていました。映像を無断で中継されていたカメラの多くも初期設定のままパスワードを変更せずに使用されていたと考えられています。

さらにIoTセキュリティガイドラインには、次のような分野別の脅威となり得る事例が挙げられています。

自動車関連サービス(コネクテッドカー)

自動車のマルチメディアシステムのコントローラへインターネット経由で接続し、別のコントローラのファームウェアに書き換えるなどして自動車のハンドルやエンジンなどの遠隔操作が可能。

消費者向けサービス(ホームエネルギーマネジメントシステム:HEMS)

HEMSが入っているホテルの部屋にある機器・設備の通信に利用される通信プロトコルをキャプチャ・解析して、機器・設備の遠隔操作が可能。

産業別のサービス(医療)

ペースメーカーおよび植込み型除細動器へのハッキングが可能。植込み型除細動器のワイヤレストランスミッタの脆弱性を利用して、近距離から同器械に不正な動作を行わせることに成功。

IoTのセキュリティ対策のポイント

では、IoT機器やシステムを利用するときは、どのようなセキュリティ対策を施せばいいのでしょうか。IoTセキュリティガイドラインの「一般利用者のためのルール」を参考にポイントをまとめてみます。

問い合わせ窓口やサポートがない機器・サービスを避ける

問い合わせ窓口やサポートがない、もしくはサポート期限が切れたIoT機器・サービスは利用しないよう注意すべきです。とくに機器のファームウェアのアップデートができないと、脆弱性が見つかったときにその解消が不可能になります。

初期設定に注意

IoT機器を使用する際は新規のID、パスワードの設定が必須です。初期設定のまま使用しているとそれだけで大きな危険にさらされていることになります。他の人とのパスワード共有、生年月日などの推測されやすいパスワード設定などもNGです。

使用しなくなった機器の電源を切る

使用しなくなったIoT機器や、故障・不具合が生じたIoT機器をインターネットに接続した状態のまま放置しておくのも危険です。知らないうちに機器を乗っ取られて不正利用されるおそれがあります。使用しなくなったWebカメラ、ルーターなどは放置せず、インターネットとの接続を切り、電源をコンセントから抜きましょう。

機器を手放すときはデータを消去する

IoT機器を捨てるなどして手放す際は、機器に記憶されている情報を削除する必要があります。そのままの状態で手放すと利用者情報が漏えいするおそれがあるためです。データ消去の方法を調べて、確実に消去してください。

通信ではSIMを利用する

IoT機器の通信部分にSIMを利用することも有効なセキュリティ対策になります。SIMは非常に強力な暗号技術を使い、セキュリティを重視した運用がされていて、SIM自体の複製もとても困難になっています。SIMを通信のモジュールとして考えるだけでなく、セキュリティ対策の1つとして検討することも視野に入れた方が良いでしょう。

ここで挙げたセキュリティ対策は、個人だけではなく企業がIoT機器・システムを導入・運用する場合にも有効です。とくにIoT機器・システムを提供している企業がセキュリティに関して十分な対策を講じ、手厚いサポート体制を敷いているかどうかは重要なポイントとなるでしょう。今後ますます需要が高まると考えられるIoTですが、それだけに巧妙化・悪質化するサイバー攻撃に対応する万全なセキュリティ対策が必須となることを理解しておきましょう。