IoT機器が抱える3つのリスクとは?必ずやるべきセキュリティ対策を紹介!

店舗や工場を始めとして、一般企業においても導入の進んでいるIoT。IoTとは「Internet of Things(モノのインターネット)」の略であり、世の中に存在するさまざまなモノをインターネットにつなげることで、相互通信や遠隔制御などを可能とする技術のことです。

便利な技術である一方、十分なセキュリティ対策を行わずに活用していると、サイバー攻撃によって思わぬ被害を被る危険性もあります。世界的にもIoTのセキュリティ向上は切迫した課題であり、2020年11月、アメリカではIoT機器の保護強化を目的とした「サイバーセキュリティ法案」が可決されました。

本記事ではIoT機器が抱えるセキュリティ課題や考えられるリスク、その対策などについて解説していきます。IoT導入を検討中の方、もしくはすでに活用している場合も必ず知っておくべき内容です。

IoT機器が抱えるセキュリティ課題

まずはIoT機器が抱えるセキュリティ課題について理解しておきましょう。実はIoT機器は「サイバー攻撃のターゲットになりやすい」弱点があり、それはIoT機器自体に能力の制約がある点が大きく影響しています。

IoT機器とPC・スマートフォンなどを比べた場合、PCやスマートフォンは機器の容量や処理能力が比較的大きいことからOSレベルでセキュリティ機能を持たせられます。たとえばWindowsであれば、OSに脆弱性が発見された場合には「Windows Update」という形であとからセキュリティプログラムの更新も可能です。

しかしIoT機器は容量や処理能力が比較的小さいため、IoT機器自体のセキュリティ機能が不十分であったり、アップデート機能を持っていなかったりするケースも少なくありません。この点からサイバー攻撃の標的になりやすく、情報通信研究機構が発表した「NICTER観測レポート2019(2020年2月10日公開)」によれば、攻撃対象の上位11種のうち6種がIoT機器を狙った攻撃です。

引用先:国立研究開発法人情報通信研究機構|NICTER観測レポート2019の公開

セキュリティ対策をおろそかにすれば、IoT機器はまさに攻撃者にとって格好の標的となってしまうのです。

IoT機器への攻撃によって引き起こされる3つのリスク

IoT機器が攻撃を受けることによって、具体的にどんなリスクが考えられるのでしょうか。ここでは、代表的な3つのリスクを紹介します。

個人情報や企業情報が盗まれるリスク

まずは防犯カメラやセンサー、スピーカーなどが乗っ取られることにより、個人情報や企業情報が盗まれてしまうリスクが考えられます。情報の盗み見では「Insecam」というWebサイトが話題となりました。Insecamはインターネットに接続された防犯カメラを探し出し、その映像をサイト上で無断公開しています。

Insecamが無断公開しているのは、おもに「パスワードをメーカー初期設定のまま変更していないカメラ」です。初期設定のパスワード情報は簡単に検索できるため、パスワードを変更しないまま使うのは非常にリスクの高い行為といえます。

制御システムが攻撃され、物理的事故を引き起こすリスク

制御システムがサイバー攻撃を受けることで、IoT機器そのものの制御が効かなくなり物理的な事故を引き起こされるリスクもあるでしょう。たとえば近年では「自動車のIoT化」が進んでいますが、もしも自動車の制御システムが乗っ取られるような事態が起これば非常に危険です。最悪の場合は自動車そのものを遠隔操作されてしまう可能性があり、そうなれば大事故は避けられません。

自動車以外にも、制御システムにIoTが導入されている産業機器やロボットなどにも同様のリスクがあります。これらは人命に危険を及ぼす可能性もあるためとくに注意しなければいけない部分でしょう。

踏み台攻撃に利用されるリスク

IoT機器が乗っ取られた場合は「踏み台攻撃」に利用されるリスクも考えられます。踏み台攻撃とは、第三者のデバイスやサーバーを乗っ取りサイバー攻撃や迷惑メールの発信源に利用することです。

踏み台攻撃の事例として有名なのが「Mirai」です。これはマルウェア(悪意のあるソフトウェアや不正プログラムのこと)の一種であり、Miraiに感染したIoT機器はほかのサイトへのサイバー攻撃に利用されてしまいます。この手法により、2017年にはAmazonやTwitterなどに大規模なアクセス障害が発生させたことが大きな話題となりました。

Miraiは次々と亜種が作られ、現在も数多くの被害報告が上がっています。IoT機器を利用するうえでは必ず警戒すべき存在です。

IoT機器への具体的なセキュリティ対策

ここまでの内容を踏まえて、企業でIoT機器を使用する際の具体的なセキュリティ対策を4つ紹介します。

初期パスワードの変更

真っ先にやるべきことが初期パスワードの変更です。購入時の初期パスワードのまま使い続けているケースは少なくありませんが、解読されにくいパスワードを使用することがセキュリティ対策の第一歩です。

前述したMiraiでも、多くは初期パスワードのまま使用していたデバイスが狙われていました。もっとも簡単に取り組める有効性の高い対策ですので、まずはこの点を徹底していきましょう。

ファームウェアの更新

アップデート機能を持つIoT機器に限られますが、最新のファームウェアが配布された際にはできるだけ早く更新することが大切です。古い状態のファームウェアを使い続けていると、脆弱性をついたサイバー攻撃を受けてしまうリスクがあります。

ただし、ファームウェアは正規のサイトからダウンロードを行うようにしてください。なかには「ファームウェアにマルウェアを仕込む」などの改ざんがされているケースもあるため、正規サイト以外で配布されているものを安易にインストールするのは避けましょう。

直接インターネットに接続しない

IoT機器を直接インターネットに接続しないことも有効な対策の一つです。直接接続するのではなく、ルーターやハブなどを経由させて接続するようにしましょう。これにより、IoT機器がインターネットから直接アクセスされてしまうリスクを防げます。

あわせて「そもそもインターネットに接続しておく必要があるのか」も再検討するとよいでしょう。接続の必要がないIoT機器は遮断しておくことで、サイバー攻撃の根本的なリスクを回避できます。

IoTの性質・リスクを会社全体で共有する

IoTの性質やリスクについて会社全体で共有し、従業員一人ひとりの危機意識を高めることも重要なポイントでしょう。先ほどの「初期パスワードのまま使い続ける」というのも、利用者のリスク意識が足りていないことから発生する問題です。

日本においてIoTはまだまだ浸透しきっているとはいえず、「IoT機器がインターネットに接続されている」ことの意味を深く理解していない人も多いでしょう。IoT機器もパソコンやスマートフォンと同様にサイバー攻撃の標的とされている事実があり、適切なリスク管理を行わなければ会社を脅かす存在になりかねないことを再認識していきましょう。

まとめ

今回はIoT機器が抱えるセキュリティ課題やその対策について解説しました。

まずは自社でどのようなIoT機器を使っているのか棚卸しを行い、初期パスワードのまま使用していないか、ファームウェアは最新のものかなどを確認するとよいでしょう。IoT機器を狙うサイバー攻撃は今後も増加していく可能性は高いため、IoTセキュリティに関する最新情報は見逃さないようにしていきましょう。

※ Spider Mediaに掲載されている見解、情報は、あくまでも執筆者のものです。Spider Labsはブログに含まれる情報の正確性について可能な限り正確な情報を掲載するよう努めていますが、必ずしも正確性を保証するものではありません。Spider Mediaの目的は読者への有益な情報の提供であり、執筆者以外のいかなる存在を反映するものではありません。見解は変更や修正されることがあります。