あなたの家電がウイルスに感染する時代…IoT社会のセキュリティ、気をつけるべきポイント

 「IoT(Internet of Things)」は「モノのインターネット」と訳される。すでに聞きなれた言葉になったが、簡単に言えば、世の中にある機械や器具がインターネットを介して情報の収取・送信をしたりコントロール下に置かれたりすること。工場の生産機械や公共の交通管制の機器、ライフラインを制御する設備機器、そして自動車や家電までがIoTの対象になる。

◆成長性で注目させる新しいITテクノロジー
 野村総合研究所の2016年11月の発表によると、日本国内のIoT分野の市場規模は2015年度の約5,200億円から2022年度には3.2兆円にまで急拡大する予測だ。それだけ世の中にインターネットに接続された機器類が増える。

 例えば、冷蔵庫が故障し冷却機能がストップしたら、生ものや冷凍食品は一夜で全滅する可能性が高い。買い替えるにも搬入路を確保する必要があるなど、傘を買ったりするのとはわけが違う。そこで冷蔵庫の稼働データがメーカーのサービスセンターに常時送られ、故障の予兆を察知してくれたらどうだろう? メーカー側は新型機や部品の生産と在庫の管理が容易になり、ユーザー側は故障の前に次に買うモデルをゆっくりと検討できる。

 しかし便利である反面、その代償とまではいかないが、サイバー攻撃に対するIoTの脆弱性がこのところ指摘されているのだ。

◆新たな脅威の対象として懸念する声
 フィアット・クライスラー・オートモービル製の「ジープ・チェロキー」が、車載のソフトウェアの遠隔操作により、車がコントロールされてしまうことが発覚した。ネット接続機能を持った140万台がリコールの対象になったのは記憶に新しい。IoTへのサイバー攻撃はこの種の犯罪はお手の物のようだ。

 そして2016年10月、AmazonやTwitterなど大手サイトが一時的に利用不能になった。攻撃の手法はDDoSというターゲットのシステムのトラフィックを増やし、システムをダウンさせる古典的な手法。通常はウイルスなどに感染したコンピュータから信号がターゲットに送られるのだが、今回の発信元はコンピュータではなく推定10万台とされるIoTの機器からだった。

 攻撃を受けたのはDNSサービスを提供するDyn。ビジネスインサイダー誌では、この事件の背景について述べ、サイバーセキュリティの専門家の「IoT機器は企業の脆弱なセキュリティエリアのひとつで、サイバー攻撃の恰好のルートになる」との警鐘を伝えている。BIインテリジェンスのレポートデータによると、2015年に100億台だった接続機器は2020年には240億台に達する。同誌は、悪意のコントロールは容易なため、これらの機器類は”爆発物”になるとする。すでに200万台が感染している可能性があり、厄介なことに、パソコンならば対策ソフトをアップグレードすればよいが、もし家庭にあるトースターだったらそれは不可能であるとしている。

◆攻撃は急速化し拡大の途上
 昨年10月のサイバー攻撃ではDVR(デジタルビデオレコーダー)とウェブカメラが乗っ取られ、製造元の中国の会社はカメラの中のサーキットボードにリコールをかけた(ガーディアン紙)。攻撃の踏み台にされた機器を提供するメーカーに責任が問われることもあるだろう。IoT社会ではあらゆる機械をネットでつなげるが、そのサイバー攻撃も多様化し、神出鬼没になることが予想できる。

 AT&Tのレポートによると、2016年の前半、同社のネットワーク上でIoT機器への不正アクセスを検知した件数は400%増加したという。IoTを使ったDDoS攻撃はまさにはじまったばかりで、社会を混乱させるポテンシャルがあり、IoT機器はバックドア(不正な侵入口)のための突破口やモニタリングの足掛かりになると見ている。これらの機械は通常設定したらそのままで、定期的なパスワードの変更はない。デフォルトのパスワードが弱いと感染もしやすくなる。また複数の機器やシステムが複合化することで、感染原因がつかめなくなる可能性も高いとしている。

 そのためIoT機器を安全にするには、これまでのようにファイヤーウォールやアンチウイルスソフトで脅威からシステムを守るよりもさらに細かなチェックや管理が求められることになる。それらを具体的に示したのが、総務省と経済産業省が昨年7月に公開した「IoTセキュリティガイドライン」だ。企業のネットワーク構築と運用上の注意の他、個人向けのガイドラインも記載されているので、それを以下に記す。

1.問い合わせ窓口やサポートがない機器やサービスの購入・利用を控える。
2.初期設定に気をつける(パスワード等をしっかり設定し、定期的にソフトウェア等をアップデートする)。
3.使用しなくなった機器は電源を切る(ウェブカメラやルータなどの感染防止)。
4.機器を手放すときはデータを消す。
※カッコ書きは筆者

 ウェアラブル端末も含め、家庭用の機器もサイバー攻撃のターゲットであることを忘れてはならない。もし上の4つにもう一つ付け足すとすると、「製造元や販売元からのお知らせには必ず目を通すように」となるのかもしれない。

Text by 沢 葦夫