多くの人の利便性を向上させ、多くの産業を発展させたといわれるIoT。しかし、その利便性の裏には重大なセキュリティリスクが潜んでいます。リスクの中身を明らかにし、どういった対策を取ることができるのかをご紹介します。
IoTのセキュリティリスクはすぐそばに
IoTに関するセキュリティリスクは身近なところに存在しています。生活を便利にして産業も大きく発展させたIoTがどのようなセキュリティリスクと背中合わせにあるのか、その具体例を見てみましょう。
IoTは利便性とリスクが背中合わせ
現代は、IoTによってモノがインターネットに接続される時代です。これは、さまざまなものに機能が追加され、性質が変わることを意味します。
たとえば、どこの家庭にもある冷蔵庫。今までは食品を冷やし保管する、単品で完結する家電として使われていました。しかし、これがIoTと結びつくことでスマート家電になります。スマート家電となった冷蔵庫は、インターネットに接続され外部とのつながりを持つことになります。これまで家の中だけで完結していたものが、家の外とも関わりを持つようになるのです。
同様に、ものづくりの現場で使われていた機器についてもIoTにより大きな変化が訪れています。これまで現場のみで使うものという感覚だったものが、あらゆる場所と接続する可能性を持つようになっています。
IoTによって家電や産業機器の利便性は大きく向上しました。その一方で、外部との関わりを持つということは外部からの攻撃の対象になり得ることを意味します。IoTの普及した現代には、利便性とセキュリティリスクが常に背中合わせで存在しているのです。
考えられるIoTセキュリティリスクとは
では、IoTには具体的にどのようなリスクがあるのでしょうか。IoTに潜むリスクは、次の3つのパターンに分けて考えられます。
- 機器が制御不能になることで引き起こされる物理的事故
制御システムにIoTが導入されている場合、制御システムにサイバー攻撃を受ける可能性があります。これにより産業機器やロボット、自動運転車が制御不能になり物理的な事故が引き起こされるリスクがあります。
- インターフェースが乗っ取られることによる情報窃取
センサーや対話型のスピーカー、入出力をするインターフェース部分が乗っ取られることにより、重用な個人情報や企業の運営情報などが盗まれるリスクがあります。
- 踏み台として利用されることで悪質な攻撃の加担者になる恐れ
他のサイトやシステムへの攻撃のために、中継地点として利用されるのが踏み台攻撃です。スパムメールの大量送信元になったり、不正アクセスの中継地点とされたりする可能性があります。さらに攻撃元の特定を困難にすることに加担したことにもなります。
実際にあったIoT攻撃の事例
残念ながら、「リスクがある」というだけではなく、IoT機器を狙った攻撃は実際に起こっています。具体例を見てみましょう。
マルウェア「Mirai」による攻撃
インターネットに接続するインターネットルータや、ネットワークカメラ、デジタルビデオレコーダーなどの組み込み製品が攻撃の標的にされる事例が増えています。その攻撃手段として使われるのが、「Mirai」と呼ばれるマルウェアです。「Mirai」はこれらのIoT機器の脆弱性を狙って攻撃し、botをダウンロードさせることで遠隔操作を可能にします。
「Mirai」の被害が拡大した背景には、2つの要因がありました。
その1つが、「Mirai」が感染力を持つということです。「Mirai」は一度感染した機器からネットワークを検索し、telnet経由でアクセスできる端末を発見するとログインを試行、再びbotをダウンロードさせ感染を広げていきます。
こうして被害を広げる能力を持つ「Mirai」ですが、感染が拡大したのには機器のユーザー側にも原因があります。それが2つめの要因です。機器がインターネット上でオープンアクセス可能な状態になっていて、さらに安易なIDとパスワードが設定されているものは、最も簡単な標的になったといえます。中には出荷時にメーカーで設定したパスワードが公開されているものもあり、そのまま変更されていないケースも多くありました。「Mirai」はアクセス可能な機器を発見すると、「admin」や「password」「123456」といった安易なIDやパスワードを総当たり攻撃し、感染を広げていったのです。
「Mirai」は次々と亜種が作られ、被害拡大は衰えを見せていません。IDとパスワードの重要性を認識し、メーカーとユーザー双方が常にセキュリティ意識を持つことがマルウェアの攻撃を防ぐ第一歩として大切です。
IoT製品を乗っ取り外部攻撃の踏み台に
IoT製品が乗っ取られ、外部への攻撃に利用されるのが踏み台攻撃です。この乗っ取りの手段として使われるのは、マルウェア「Mirai」や、Bluetoothの脆弱性として発見された「BlueBorne」と呼ばれるセキュリティホールです。
踏み台攻撃の代表例としては、DDoS攻撃が知られています。乗っ取られた機器から標的となるサーバーに対し大量の処理要求を送ることで、サーバーの処理能力をパンクさせサービスを停止させてしまう攻撃です。
またこのほかにも、迷惑メールの配信が行われたり、情報漏えいを狙った操作がされたりしたケースもあります。日本では2012年に発生したパソコン遠隔操作事件が有名で、他者のPCを遠隔操作し犯罪予告が行われたことは多くの人に踏み台攻撃の恐怖を印象づけました。
こうした踏み台攻撃の本当の怖さは、踏み台にされた機器の所有者が、踏み台にされたことに気づかないケースが多いことです。知らないうちに攻撃の加担者になっていたという可能性は、すぐそばにあるのです。
Webカメラから情報漏えい
インターネットからアクセスでき、無防備な状態にあるWebカメラによって映し出される映像を見ることができるサイトが存在します。こういった映像から、多くの情報が漏洩しています。
多くのWebカメラについて、ネットワーク接続のためのIDやパスワードが工場出荷状態のままになっていることにより、簡単にアクセスされ映像が流れてしまっています。その中には施設内の防犯カメラや工場内の監視カメラも含まれています。
こういった映像の流出が悪用されると、企業の重用な情報も漏洩する可能性があります。
IoTセキュリティ対策は何をすればいいのか
ではこういったIoTのセキュリティリスクに対し、どのような対策をとればいいのでしょうか。
IPA(情報処理推進機構)が発表した「情報セキュリティ10大脅威2019」では、2018年に発生したセキュリティリスクのうち社会的影響の大きかったものを順位付けし発表しています。その中では、個人・組織での使用に分けて順位付けが行われていますが、どちらも「IoT機器の不適切な管理」が10位以内という結果となりました。
前年に対し、個人での使用に対する脅威としての順位は上がっているものの、組織としての使用での順位は下がっています。これは組織レベルでのIoTセキュリティ対策が進んでいることを意味しています。組織レベルではどのような点から対策が進みつつあるのでしょうか。
IoTの性質を再認識するところから
IoTのセキュリティリスクに対策するためには、経営者層や管理者層がIoTの性質について再認識しておかなければなりません。重要となるのは次の3つの性質です。
- 「つながっている」ということを再認識
IoTの有用性は多くの人が認識していても、インターネットに接続されているということの意味を認識していない、または深く理解していない人が多いのも事実です。IoTによって外部ともつながっていること、外部からもアクセス可能だということを再認識しなければなりません。
- IoTシステムが持つ情報資産として重要性を再認識
IoTによってつながっているものは、常に情報を生み出し送受信を行うことで、それ自体が情報資産となります。IoTシステムが企業にとって重用な情報資産であり、この情報の漏洩は資産の損失であることを認識する必要があります。
- セキュリティの重要性を再認識
外部とつながっていること、それにより大切な情報がやり取りされていることを再認識すると、自ずとセキュリティの重要性を感じるはずです。IoTの運用にはリスクが背中合わせであること、リスク対策としてセキュリティが非常に大切であることを再認識しておきましょう。
具体的なIoTセキュリティ対策
では、それらのリスクに対して具体的な対策としてはどのような方法があるでしょうか。
- ネットワークを限定
外部からの攻撃を防ぐためには、外部との通信を遮断するのがもっとも有効ですが、それではIoTの有用性と逆行してしまいます。そこで、ネットワークを限定し、必要なときに必要なところとのみ通信を行うシステム構成が必要となります。
通信経路の棚卸しを行い、ネットワーク構成を可視化できる仕組みを作っておきましょう。また、標的になりやすいtelnetの開放ポートは放置しない、接続の必要がないIoT機器は遮断するなどの措置を取ります。
また、現場側で処理を行うエッジコンピューティングの導入も、ネットワークの限定によるセキュリティ対策として有効です。
- デフォルトパスワードを使用しない
多くのマルウェアはIDやパスワードの総当たり攻撃により侵入を試みます。その対策としては、デフォルトのIDやパスワードをそのまま使用し続けることは避け、変更した解読されにくいものを使用しましょう。
突破されにくいIDとパスワードを使用することがセキュリティ対策の第一歩であり、最大の防御策でもあります。
- 最新のファームウェアにアップデート
IoTに対する攻撃の手段は進化し続け、常にセキュリティホールも探され続けています。これに対抗するには、IoTを運用するアプリケーションのファームウェアが最新の状態で保たれていなければなりません。
- 不明瞭・不要な機器の使用・接続を避ける
製造元が不明瞭であったり、サポート対応が怪しかったりするような機器の使用は避けましょう。その機器に悪意はなくても、攻撃されやすい脆弱性のもととなる可能性があります。また、使っていない、あるいは通信の必要はないIoT機能を備えた機器は電源を切る、またはネットワークへの接続を遮断しておくようにしましょう。
IoTの普及とともにセキュリティの重要性も増大
IoTの普及により、製造業では第4次産業革命と言われるほど革新的な発展を遂げています。その一方で、あらゆる機器がインターネットにつながることによりセキュリティリスクが増大しているのも事実です。IoTを有効に活用していくためには、セキュリティに対する意識と対策も不可欠のものなのです。