IoT機器が抱えるセキュリティリスクとは?
IoT機器は、近年急速に普及し私たちの生活の中で目にする機会も増えてきています。スマート家電のような家庭で利用されるものから、複合機などのオフィス機器、センサーなどの産業用製品など様々な場所で活用されています。IoT機器が普及する一方で、IoT機器がサイバー攻撃者に狙われるケースも増えています。このコラムではIoT機器のサイバーセキュリティリスクとその対策について解説します。
目次
IoTとIoT機器
少しややこしいのでIoTとIoT機器について先に整理しておきます。IoTとは「【Internet of Things】の略で、自動車、家電、ロボット、施設などあらゆるモノがインターネットにつながり、情報のやり取りをすることで、モノのデータ化やそれに基づく自動化等が進展し、新たな付加価値を生み出すこと」※1と定義されています。一方IoT機器は「固有のIPアドレスを持ちインターネットに接続が可能な機器及びセンサーネットワークの末端として使われる端末」※2と定義されています。
IoTとはモノとインターネットがつながる概念のことでIoT機器はIoTにおいて現実世界とインターネットを繋ぐ橋渡しをする機器のようなものです。IoTに期待される効果として、IoT機器が収集した情報を分析・活用することで、新たな価値の創出を行うことや、逆にインターネットから現実世界に何かしらの仕事をすることなどがあげられます。
(※1 総務省 情報通信白書2018 用語解説より引用
※2 IHS Technologyの定義)
IoT機器はなぜ狙われるのか
近年IoT機器を狙ったサイバー攻撃が増加傾向にあります。NICT(国立研究開発法人情報通信研究機構)が行っているサイバー攻撃の監視・観測プロジェクト(NICTERプロジェクト)では2023年に観測した攻撃のうち約3割がIoT機器を狙ったものであったという調査結果が公表されています。では、なぜIoT機器が狙われるのでしょうか。この章ではIoT機器が狙われる原因について解説します。
(参考 NICT NICTER report2023)
IoT機器へのセキュリティ意識が低い
PCなどに比べてIoT機器が攻撃されるという認識が浸透していないため、パスワードが初期のままだったり、第三者からのアクセスを許可していたりするなど、設定が脆弱な状態で放置されていることが多々あります。ある調査によると利用されているIoT機器の約3割が初期パスワードをそのまま使用しているとの調査結果が報告されています。
長期使われるので脆弱性が発生しやすい
IoT機器は長期にわたって使用されるものが多いため、脆弱性が発生する可能性が高くなります。PCやスマートフォンのような機器は3~5年程度で買い替える場合が多く、新しい機器に交換することで古い機器の脆弱性の影響を無視できます。一方で家電や産業用設備などは10年以上使われることもあり、必然的に対応をしなければならない脆弱性が多く発生する可能性があります。
ファームウェアアップデートを忘れがちになる
PCやスマートフォンは普段から使用頻度が高く、ファームウェアのアップデートを気づきやすいです。一方で防犯カメラなどのIoT機器では、設置後に設定画面などへアクセスする頻度は低く、脆弱性の発生に伴うアップデートが配信されていても見逃してしまう危険があります。
機器の部品に脆弱性がある
脆弱性が発生するのはソフトウェアだけではありません。IoT機器に使われている部品(チップセット等)にも脆弱性が発生する場合があります。このリスクはPCやスマートフォンなどでも同様にありますが、前節で述べたようにIoT機器は比較的長期間使用するため、このリスクによる影響が大きくなります。
物理的な侵入が容易である
IoT機器が設置される場所は、物理的なセキュリティが高い場所だけとは限りません。防犯カメラのように屋外に設置される機器は、誰もが触れることができる状態におかれていることがあります。悪意を持った者が物理的に接続し、そこからシステムに侵入されるというリスクがあります。実際に海外では、防犯カメラ経由で社内システムに侵入されたという事例も報告されています。ネットワークから侵入するよりも対策が手薄なIoT機器に物理的に接続し攻撃する方が容易なことも多く、今後攻撃者のターゲットになる可能性があります。
IoT機器が攻撃されると何が起きるのか
IoT機器が攻撃されると何が起こるのでしょうか。この章ではIoT機器が攻撃を受けるとどのようなことになるのか解説します。
業務が停止する
PCやサーバーへのサイバー攻撃と同様にIoT機器が使用できなくなるため、業務に支障が出る可能性があります。PCやサーバーであれば予備やバックアップがある場合もありますが、IoT機器では予備やバックアップが無いことが多く業務への影響が長期化する可能性もあります。
音声やカメラ映像を盗聴される
IoT機器が不正アクセスされると搭載されているマイクやカメラなどから音声や映像が盗み見られる可能性があります。また、盗聴盗撮された音声や映像等から人のいない時間や防犯カメラの死角を把握され、建物への侵入など他の犯罪に悪用される恐れもあります。
DDoS攻撃に利用される
IoT機器への攻撃による被害で最も多いのがDDoS攻撃に利用されることです。DDoS攻撃とはウェブサイトやサーバーなどに大量のデータを送り付け、負荷をかけることでウェブサイトやサーバーなどを停止または遅延させる攻撃です。IoT機器がウイルスなどに感染してしまうと、攻撃者に遠隔操作され、標的のウェブサイトやサーバーへデータを送ることに利用されてしまいます。
関連コラム
ただの監視カメラやセンサーが攻撃に使われるというのはイメージが湧かないかもしれませんが、多くのIoT機器にはマイコン(マイクロコンピュータ)と呼ばれるコンピュータが搭載されています。これによって仕様外の動作をすることができるのです。
物や人に被害が発生する
PCやサーバーに対するサイバー攻撃では現実への影響はPCやサーバーが使えなくなることによって業務が止まるなど、間接的なものがほとんどでした。一方、IoT機器の場合は現実への影響がより大きくなる可能性があります。例えば、2021年に米国の浄水場で発生した事件では、浄水システムに攻撃者が侵入し、水道水に投入される薬品の量を大幅に増やす変更を加えました。幸いにも浄水場の職員が気づいたため、被害を防ぐことができましたが、IoT機器が攻撃されるとこのように大きな被害が発生する可能性があります。
IoT機器のセキュリティ対策
ここまでIoT機器のリスクについて解説してきましたが、この章ではIoT機器のセキュリティ対策について解説します。
設定を見直す
前章でも述べた通り、パスワードが初期状態のままや、外部から接続可能になっているIoT機器が多くあります。セキュリティ対策の一歩目として、まずは今ある機器の設定を見直してみましょう。
物理的に侵入されることを防ぐ
IoT機器は物理的に侵入されるリスクが高いです。第三者が容易にIoT機器に接続できないようにする対策を行いましょう。対策例として機器の筐体に鍵をかけることや、USBなどの外部から接続できるポートを塞ぐことなどがあげられます。
セキュリティ製品の利用
セキュリティ対策製品を利用することも有効な対策になります。IoT機器には組込み用のOSが使われることが多く、PCやスマートフォンのようにPC向けのウイルス対策製品をインストールすることが難しいです。一方で、IoT機器が接続されているネットワークの通信を監視する対策(UTM製品など)はPCなどと同じように効果があります。 また、IoT向けのセキュリティ対策製品も販売されており、IoT機器に取り付けて通信を監視するものや、通信の暗号化を行うものなどがあります。 これらを利用することでより強固な対策を行うことができます。
まとめ
IoT機器のセキュリティリスクと対策についてご紹介しました。IoT機器は今後も様々な分野で活用が増えていくことが予想され、それに伴ってセキュリティリスクも増大することが予想されます。IoT機器もサイバー攻撃の対象になるという意識を持ち、セキュリティ対策を確実に実施しましょう
