IoT機器・IoTシステムの普及に伴って、セキュリティ対策の一層の強化が強く求められています。IoTにはどのようなリスクがあり、またどのようなセキュリティ対策が有効なのでしょうか。IoTのセキュリティ対策について解説します。
IoTにおけるセキュリティ対策の重要性
IoT機器が普及する一方で、IoT機器を対象としたサイバー攻撃が増加し続けています。
たとえば2016年に発見された「Mirai」というマルウェアは、IoT機器に感染すると周囲の機器にも感染範囲を拡大し、ボットネットと呼ばれる攻撃用のネットワークを構築します。この仕組みを使ってコンピュータセキュリティに詳しいジャーナリストのサイトやインターネット関連企業、プロバイダなどが大規模で破壊的なDDoS攻撃を受けたことが話題になりました。
つまりIoT機器がマルウェアに感染するとさらに多くの機器が感染し、それらの機器が踏み台として利用されて、Webサイトや企業のサーバーが攻撃されるという図式が作られているわけです。
また、IoTを狙った攻撃にはほかにもIoT機器の動作を停止させるもの、破壊するものなどがあります。また制御が乗っ取られる可能性、通信を傍受(盗み見や盗聴)されるおそれなども指摘されています。
IoTセキュリティガイドラインとは
日本では2016年7月に、総務省と経済産業省、IoT推進コンソーシアムが共同で「IoTセキュリティガイドライン」を策定しています。
「IoTセキュリティガイドライン」はIoT機器やシステム、サービスの供給者、それらの利用者を対象として作られたガイドラインです。サイバー攻撃などによってモノ(IoT機器)やユーザーの安全、さらには個人情報や技術情報などの重要情報に危険が及ぶ可能性があることを認識したうえで、IoT機器やシステム、サービスに対する適切なサイバーセキュリティ対策を検討するための考え方が、分野を特定せずまとめられています。
同ガイドラインでは、「方針、管理」「分析」「設計」「構築、接続」「運用、保守」という5つの指針が掲げられています。それぞれの指針ごとにどのようなセキュリティ対策を施すべきかというポイントと対策例をまとめ、また一般利用者向けのルールも示しています。
IoT機器・システムがさらされるリスク
サイバー攻撃などによって、IoT機器やシステムはどのようなリスクにさらされるのでしょうか。
企業にとって最も脅威となるのは、マルウェア感染やBluetoothの脆弱性を狙った機器の乗っ取り、またウェブカメラへの不正アクセスなどのサイバー攻撃が引き起こす、除法漏洩や機器の乗っ取り、アクセス障害、文書の改ざんなどです。セキュリティ対策が十分ではなかった結果、莫大な損害が生じてしまうだけでなく、医療や産業に関わるIoT機器がサイバー攻撃の対象となった場合には、人命に関わる重大なトラブルへと発展してしまう恐れもあります。
前述のIoTセキュリティガイドラインには、次のような分野別の脅威も挙げられています。
自動車関連サービス(コネクテッドカー)
自動車のマルチメディアシステムのコントローラへインターネット経由で接続し、別のコントローラのファームウェアに書き換えるなどして自動車のハンドルやエンジンなどの遠隔操作が可能。
消費者向けサービス(ホームエネルギーマネジメントシステム:HEMS)
HEMSが入っているホテルの部屋にある機器・設備の通信に利用される通信プロトコルをキャプチャ・解析して、機器・設備の遠隔操作が可能。
産業別のサービス(医療)
ペースメーカーおよび植込み型除細動器へのハッキングが可能。植込み型除細動器のワイヤレストランスミッタの脆弱性を利用して、近距離から同器械に不正な動作を行わせることが可能。
IoT機器・システムが攻撃にあった事例
上述した「Mirai」などのマルウェアによるIoT機器を踏み台に使うサイバー攻撃は現在も脅威となっています。「Mirai」はIoT機器のIDやパスワードを総当たり攻撃(ブルートフォースアタック)してログインを試みます。この総当たり攻撃で突破されやすいのは、工場出荷時のデフォルトのパスワードをそのまま使用しているようなIoT機器です。
また、2017年には「BrickerBot」というマルウェアも見つかっています。こちらはIoT機器に感染するとその内部ストレージを破壊し全ファイルを消去するという、より悪質化したマルウェアです。
プライバシーが侵害される可能性もまた、IoT機器・システムの問題点です。2014年と2016年には、世界中のネットワークカメラやIP監視カメラの映像がブラウザで閲覧できるロシアのWebサイト「Insecam」の存在が話題になりました。このサイトには世界全体でおよそ2万8000ヵ所、日本国内のカメラ映像も6000ヵ所以上がインデックスされていました。映像を無断で中継されていたカメラの多くも初期設定のままパスワードを変更せずに使用されていたと考えられています。
さらに具体的な事例としては、2016年10月にはアメリカの大手DNSプロバイダが、大規模なDDoS攻撃を受けた事例が挙げられます。これにより大手動画配信サービスをはじめ複数のSNSなどの有名なサービスがダウンするという事態に発展。その原因となったのが、マルウェアが複数のIoT機器を踏み台として利用したことがきっかけでした。
また、日本国内の地方自治体もIoT機器を介したサイバー攻撃の被害を受けています。例えば、2018年5月から3ヶ月にわたって、日本国内の地方自治体が運営する河川監視用のネットワークカメラがサイバー攻撃によって乗っ取られた事例もあります。これにより、カメラ映像に不正に加工がされたり、操作不能になるという被害が生じました。
監視用ネットワークカメラの乗っ取りは海外でも被害が起きています。2008年にはトルコの石油企業で監視カメラを介した内部ネットワークへの侵入が発生。石油パイプラインを爆破されるという事件が発生しました。
IoTのセキュリティ対策のポイント
では、IoT機器やシステムを利用するときは、どのようなセキュリティ対策を施せばいいのでしょうか。
IoT機器を導入する際の注意点や、導入後に気を付けるべきポイントについて詳しく見ていきましょう。
信頼できるメーカーの機器を導入する
導入後に安心して運用していくためには、問い合わせ窓口や購入後のサポートがあるものを選ぶことが大切です。一旦導入したIoT機器は長期間使うことが想定されますので、サポートがない、もしくはサポート期限が切れているIoT機器やサービスは利用しないように注意するべきでしょう。とくに機器のファームウェアのアップデートができないと、脆弱性が見つかったときにその解消が不可能になります。
初期設定のまま利用しない
IoT機器を使用する際は新規のID、パスワードの設定が必須です。初期設定のまま使用しているとそれだけで大きな危険にさらされていることになります。他の人とのパスワード共有、生年月日などの推測されやすいパスワード設定などもNGです。
通信ではSIMを利用する
IoT機器の通信部分にSIMを利用することも有効なセキュリティ対策になります。SIMは非常に強力な暗号技術を使い、セキュリティを重視した運用がされていて、SIM自体の複製もとても困難になっています。SIMを通信のモジュールとして考えるだけでなく、セキュリティ対策の1つとして検討することも視野に入れた方が良いでしょう。
定期的にファームウェアをアップデートし最新の状態に保つ
IoT機器へのサイバー攻撃を防ぐためには、ファームウェアを適切に管理することも大切なポイントです。不具合を修復し、動作環境を改善する更新プログラムはこまめにアップデートするように心がけ、ファームウェアを常に最新の状態に保ちましょう。
IoT機器に接続できる機器を限定する
IoT機器に接続できる端末が多ければ多いほど、セキュリティ面のリスクは高くなってしまいます。例えば、遠隔から操作や映像の確認ができるネットワークカメラなどは、接続できる端末とアクセス権を持った人を限定することによって、不正アクセスのリスクを軽減することが可能です。
不要な開放ポートを放置しない
ポートというのは、ネットワークでデータを通信する際の、情報の出入り口のことですが、IoT機器へのサイバー攻撃を防ぐには、このポートの管理も重要です。使わなくなったポートについては原則として放置しないようにしましょう。
使用していないIoT機器の電源を入れたままにしない
使用しなくなったIoT機器や、故障・不具合が生じたIoT機器をインターネットに接続した状態のまま放置しておくのも危険です。知らないうちに機器を乗っ取られて不正利用されるおそれがあります。使用しなくなったWebカメラ、ルーターなどは放置せず、インターネットとの接続を切り、電源をコンセントから抜きましょう。
IoT機器の処分時にはデータを消去する
IoT機器を捨てるなどして手放す際は、機器に記憶されている情報を削除する必要があります。そのままの状態で手放すと利用者情報が漏えいするおそれがあるためです。データ消去の方法を調べて、確実に消去してください。
ここで挙げたセキュリティ対策は、個人だけではなく企業がIoT機器・システムを導入・運用する場合にも有効です。とくにIoT機器・システムを提供している企業がセキュリティに関して十分な対策を講じ、手厚いサポート体制を敷いているかどうかは重要なポイントとなるでしょう。今後ますます需要が高まると考えられるIoTですが、それだけに巧妙化・悪質化するサイバー攻撃に対応する万全なセキュリティ対策が必須となることを理解しておきましょう。