IoT製品を狙ったサイバー攻撃の脅威！
事例と対策

昨今、急速に私たちの生活でも活用されるようになってきたIoT技術。しかし、IoT製品のセキュリティと言われても、ピンとこない方も多いかもしれません。
IoT製品はさまざまな場面で利用でき便利な反面、インターネットに繋がっていることでマルウェアをはじめとした攻撃の標的になり得るのです。そこで、今回はIoT製品のセキュリティについて考えていきましょう。

IoT製品を狙った攻撃の事例

今や多くの場面で活用されるようになってきたIoT製品。家電や自動車、監視カメラなどは代表的ですが、複合機などのオフィス機器や、電子カルテシステムやMRIといった医療機器、センサーなどの産業用機器など、ビジネスの現場でも活用が拡がっています。パソコンやスマートフォンに関するセキュリティ対策については、たとえその仕組みに詳しくない方でも、セキュリティ対策ソフトウェアをインストールするなどある程度の対策を講じている方がほとんどでしょう。しかしIoT製品のセキュリティ対策については、いまひとつ実感が沸かないという方が少なくないはずです。
IoT製品であっても、インターネットに繋がっているということは、パソコンやスマートフォンと同じようにセキュリティリスクが存在するということでもあります。実際に、IoT製品がマルウェアをはじめとした攻撃の標的になり、被害が発生した事例もあります。 IoT製品への攻撃として見られるのが、マルウェアに感染した製品によるDDoS攻撃。セキュリティ対策の講じられていないIoT製品を多数感染させ、ある企業のサーバーを一斉攻撃し、負荷を増大させることによってサーバーをダウンさせるというような事例があります。
その中で知られているのが、IoT製品などに感染するマルウェア「Mirai」。2016年9月に、著名なセキュリティジャーナリストが運営するWebサイトがサイバー攻撃を受けました。Miraiに感染した約18万台のIoT製品からそのWebサイトに対してDDoS攻撃が仕掛けられ、その通信量は約620Gbpsにも達したと言われています。また、この「Mirai」の作者を名乗る人物がソースコードを公開。その亜種による攻撃が2017年11月から活発な動きを見せています。暗号化通信を行うWebサイトも標的にしていると見られ、100Gbps前後の攻撃がたびたび繰り返されているのです。また、近年では監視カメラなども標的とされることが増えています。その設置台数は世の中の状況を反映して増えており、監視カメラの映像をインターネットを通じて遠隔で確認できる仕組みが一般化してきました。この仕組みを悪用することで、監視カメラの映像データが盗難されたり、改ざんされたり、もしくは機能を停止されるというような事例が発生しています。2018年の4月から5月にかけ、国内で複数の自治体における河川などの監視カメラが不正アクセスを受け、「I'm Hacked. bye2」という映像に本来入らないメッセージが表示されるようになったと言います。さらに、IoT製品の活用が進む医療の現場においても攻撃の事例が報告されています。例えばアメリカのボストンにある医療機関において、胎児モニタ装置がマルウェアに感染した事例があります。患者に直接の被害はなかったものの、装置のレスポンスが遅くなるといった事象が報告されました。こうした医療機器へのサイバー攻撃は誤作動を引き起こし、人命に関わる事態を引き起こす可能性も含んでいるのです。

IoTセキュリティのガイドライン解説

前述したようなIoT製品に感染するマルウェアによるサイバー攻撃は実際に発生しており、また、増加していると言えます。こうしたIoT製品に対するセキュリティ対策が必要となってきている状況を踏まえて、経済産業省と総務省が共同で「IoTセキュリティガイドライン」を2016年7月に公開しました。その中で、2020年には約530億個のIoT製品が活用されると予測されています。また、IoT製品特有の性質と、その性質を踏まえた対策の必要性も挙げられています。例えば、IoT製品はパソコンやスマートフォンなどの機器と比べてライフサイクルが長く、10年以上使用されるものも多く存在します。そのため、当初のセキュリティ対策のまま使用し続けると年々セキュリティリスクが高まる可能性があり、安全な状態を維持するための継続的な対策が求められます。さらに、IoT製品を取り巻くリスクとして、IoT製品「SHODAN」という検索エンジンが存在しています。IoT製品をはじめ、インターネットに接続されるさまざまな機器を検索することができ、適切なセキュリティ対策を行わずインターネットから参照可能な状態である製品を、この検索エンジンによって発見することが可能です。また、IoT製品のメーカサイトやマニュアルなどから入手した初期パスワードを悪用した不正アクセスやサイバー攻撃の標的とされる可能性もあります。 IoT製品はインターネットに繋がっており、悪意のある第三者の攻撃の標的になりえるものです。IoT製品や関連するサービスの提供者側の対応も促しながら、利用者側においても、セキュリティリスクの存在と対策の必要性を認識し、改善するよう求めています。

セキュリティ対策例

それでは、IoT製品のセキュリティ対策はどのように講じていけばよいのでしょうか。具体的な対策を考えていきましょう。

セキュリティ対策状況の把握
自動車や監視カメラ、医療機器などのIoT製品がどのようなセキュリティ対策機能を持っているのか、改めて確認が必要です。それらの機能をきちんと活用し、第三者の攻撃に備えられているかも確認しましょう。例えば工場出荷時のパスワードのまま使用していたために、サイバー攻撃の標的になるといった事例も多く見られるため、IoT製品の利用において注意すべき点と言えます。そもそもネットワークに繋がる認識がなく、知らずにインターネットに繋がっていたということもあるかもしれません。個人の判断や設定が困難である場合は、専門家の判断を仰ぐことや、IoT製品の洗い出しを行う製品の導入も検討すべきでしょう。
IoT製品の管理
攻撃者の多くはIoT製品の脆弱性を狙っていますから、ファームウェアやソフトウェアのアップデートなど、最新状態への更新を怠ることなくしっかり実施するようにしましょう。また、IoT製品の稼働状況や通信状況の監視、不審な通信が見られた場合には、すぐにネットワーク接続を遮断するなど適切な対応をすることが求められます。

まとめ

ここまで、IoT製品のセキュリティについてご説明してきました。急速に生活の中でも活用されるようになってきたIoT製品ですが、そもそも「ネットワークにつながる端末である」という認識は持ちにくいかもしれません。しかしこうした技術は、今後も密接に関わるものとなることは間違いないでしょう。
基本的なことですが、インターネットに接続されているということは、IoT製品もパソコンやモバイル端末などと同じリスクを負うことになります。この認識を持ち、しっかりとした対策を講じていくようにしましょう。