多くの人の利便性を向上させ、多くの産業を発展させたと言われるIoT。しかし、その利便性の裏には重大なセキュリティリスクが潜んでいます。リスクの中身を明らかにし、どういった対策を取ることができるのかをご紹介します。
IoTとは?
IoTとは、Internet of Thingsの略称で、日本語では「モノのインターネット」と訳されています。具体的には、家電や車、エアコンなどさまざまなデバイスがインターネットに接続され、データのやり取りを行えるようにしたものです。
たとえば、どこの家庭にもある冷蔵庫。今までは食品を冷やし保管する、単品で完結する家電として使われていました。しかし、これがIoTと結びつくことでスマート家電になります。スマート家電となった冷蔵庫は、インターネットに接続され外部とのつながりを持つことになります。これまで家の中だけで完結していたものが、家の外とも関わりを持つようになるのです。
同様に、ものづくりの現場で使われていた機器についてもIoTにより大きな変化が訪れています。これまで現場のみで使うものという感覚だったものが、あらゆる場所と接続する可能性を持つようになっています。
IoTによって家電や産業機器の利便性は大きく向上しました。その一方で、外部との関わりを持つということは外部からの攻撃の対象になり得ることを意味します。IoTの普及した現代には、利便性とセキュリティリスクが常に背中合わせで存在しているのです。
IoTについての詳細はこちらの記事をご覧ください。
産業分野のIoT活用とは? 事例を交えて活用のポイントを解説|Stratus Blog
IoTシステムにセキュリティが求められる背景
IoTシステムにセキュリティが求められる背景はいくつか考えられますが、総務省の「IoT セキュリティガイドライン ver.1.0」では「IoT 特有の性質とセキュリティ対策の必要性(1.1.2)」として次の6点を挙げています。
- サイバー攻撃を受けた際の影響範囲が広い点
IoT機器は基本的にインターネットに接続して利用されるため、どれか1つでも攻撃を受けてしまえば、その影響がネットワークを介して幅広い範囲へ拡大するリスクが高まります。特に自動車や医療分野などにおいて、IoTの制御に攻撃を受ければ生命の危機にさらされるリスクもありため、セキュリティ対策は必須と言えるでしょう。 - 長期間利用されるケースが多い点
一般社団法人日本自動車工業会が2021年度に実施した「乗用車市場動向調査」によると、車の保有期間は平均で7.1年ですが、2割強は10年を超えています。この結果から、自動車に組み込まれたIoT機器も故障がなければ10年近くは使用されると考えられます。また、工場で使用される制御機器の耐用年数も10~15年が一般的です。
サイバー攻撃は日々進化しているため、製造時はセキュリティ対策が万全だとしても、時間の経過とともにリスクは高くなるでしょう。
参照:2021年度乗用車市場動向調査について|一般社団法人日本自動車工業会 - 問題発生に気づくまでの時間がかかる点
パソコンやスマートフォンのように画面があるデバイスであれば、問題があった際にもすぐに気づけます。しかし、多くのIoT機器は画面がないため、攻撃に遭ったとしてもすぐに気が付けないケースも少なくありません。その結果、問題発生に気づいたときには取り返しがつかない状況になってしまうリスクが感がられます。 - ネットワーク側の影響でリスクが高まる可能性がある点
IoT機器側とネットワーク側では、それぞれの環境や特性が異なる場合があり、接続することで安全性や性能を最大限発揮できなくなるケースも珍しくありません。場合によってはネットワーク環境がIoT機器側のセキュリティ要件を変えてしまう可能性もあります。 - IoT機器のセキュリティ対策に限界がある点
IoT機器でもセンサーやカメラなど種類によっては少ないリソースで製造されている場合もあり、適切なセキュリティ対策を施せない可能性があります。 - 本来の目的とは異なる接続が行われる場合もある点
あらゆる通信機能を持つIoTは、これまで外部とつながりのなかったデバイスとネットワークに接続されるケースも少なくありません。そのため、本来の目的とは異なる接続が行われた場合、想定外のリスクが発生するケースも考えられます。
考えられるIoTセキュリティリスクとは
では、IoTには具体的にどのようなリスクがあるのでしょうか。IoTに潜むリスクは、次の3つのパターンに分けて考えられます。
- 機器が制御不能になることで引き起こされる物理的事故
制御システムにIoTが導入されている場合、制御システムにサイバー攻撃を受ける可能性があります。これにより産業機器やロボット、自動運転車が制御不能になり物理的な事故が引き起こされるリスクがあります。 - インターフェースが乗っ取られることによる情報窃取
センサーや対話型のスピーカー、入出力をするインターフェース部分が乗っ取られることにより、重要な個人情報や企業の運営情報などが盗まれるリスクがあります。 - 踏み台として利用されることで悪質な攻撃の加担者になる恐れ
他のサイトやシステムへの攻撃のために、中継地点として利用されるのが踏み台攻撃です。スパムメールの大量送信元になったり、不正アクセスの中継地点とされたりする可能性があります。さらに攻撃元の特定を困難にすることに加担したことにもなります。
実際にあったIoT攻撃の事例
残念ながら、「リスクがある」というだけではなく、IoT機器を狙った攻撃は実際に起こっています。具体例を見てみましょう。
マルウェア「Mirai」による攻撃
インターネットに接続するインターネットルータや、ネットワークカメラ、デジタルビデオレコーダーなどの組み込み製品が攻撃の標的にされる事例が増えています。その攻撃手段として使われるのが、「Mirai」と呼ばれるマルウェアです。「Mirai」はこれらのIoT機器の脆弱性を狙って攻撃し、botをダウンロードさせることで遠隔操作を可能にします。
「Mirai」の被害が拡大した背景には、2つの要因がありました。
- 「Mirai」が持つ感染力
「Mirai」は一度感染した機器からネットワークを検索し、telnet経由でアクセスできる端末を発見するとログインを試行、再びbotをダウンロードさせ感染を広げていきます。 - ユーザーによる安易なパスワード設定
機器がインターネット上でオープンアクセス可能な状態になっていて、さらに安易なIDとパスワードが設定されているものは、最も簡単な標的になったと言えます。中には出荷時にメーカーで設定したパスワードが公開されているものもあり、そのまま変更されていないケースも多くありました。「Mirai」はアクセス可能な機器を発見すると、「admin」や「password」「123456」といった安易なIDやパスワードを総当たり攻撃し、感染を広げていったのです。
「Mirai」は次々と亜種が作られ、被害拡大は衰えを見せていません。IDとパスワードの重要性を認識し、メーカーとユーザー双方が常にセキュリティ意識を持つことがマルウェアの攻撃を防ぐ第一歩として大切です。
IoT製品を乗っ取り外部攻撃の踏み台に
IoT製品が乗っ取られ、外部への攻撃に利用されるのが踏み台攻撃です。この乗っ取りの手段として使われるのは、マルウェア「Mirai」や、Bluetoothの脆弱性として発見された「BlueBorne」と呼ばれるセキュリティホールです。
踏み台攻撃の代表例としては、DDoS攻撃が知られています。乗っ取られた機器から標的となるサーバーに対し大量の処理要求を送ることで、サーバーの処理能力をパンクさせサービスを停止させてしまう攻撃です。
またこのほかにも、迷惑メールの配信が行われたり、情報漏えいを狙った操作がされたりしたケースもあります。日本では2012年に発生したパソコン遠隔操作事件が有名で、他者のPCを遠隔操作し犯罪予告が行われたことは多くの人に踏み台攻撃の恐怖を印象づけました。
こうした踏み台攻撃の本当の怖さは、踏み台にされた機器の所有者が、踏み台にされたことに気づかないケースが多いことです。知らないうちに攻撃の加担者になっていたという可能性は、すぐそばにあるのです。
Webカメラから情報漏えい
インターネットからアクセスでき、無防備な状態にあるWebカメラによって映し出される映像を見ることができるサイトが存在します。こういった映像から、多くの情報が漏洩しています。
多くのWebカメラについて、ネットワーク接続のためのIDやパスワードが工場出荷状態のままになっていることにより、簡単にアクセスされ映像が流れてしまっています。その中には施設内の防犯カメラや工場内の監視カメラも含まれています。
こういった映像の流出が悪用されると、企業の重用な情報も漏洩する可能性があります。
IoTセキュリティ対策は何をするべきか
ではこういったIoTのセキュリティリスクに対し、どのような対策をとればいいのでしょうか。
ランサムウェアによる攻撃は、ウイルス対策を行うことである程度、回避は可能です。しかし、IoTで最も気を付けなければならないのは、IoT機器の管理でしょう。IoTはさまざまなデバイス、機器が存在するため、しっかりと管理しないと紛失、盗難などが起こりやすく、セキュリティリスクも非常に高くなります。そこで、重要となるのが、IoTの性質を改めて認識することです。
IoTの性質を再認識すること
IoTのセキュリティリスクに対策するためには、経営者層や管理者層がIoTの性質について再認識しておかなければなりません。重要となるのは次の5つの性質です。
- 「つながっている」ということを再認識
IoTの有用性は多くの人が認識していても、インターネットに接続されているということの意味を認識していない、または深く理解していない人が多いのも事実です。IoTによって外部ともつながっていること、外部からもアクセス可能だということを再認識しなければなりません。 - IoTシステムが持つ情報資産として重要性を再認識
IoTによってつながっているものは、常に情報を生み出し送受信を行うことで、それ自体が情報資産となります。IoTシステムが企業にとって重用な情報資産であり、この情報の漏洩は資産の損失であることを認識する必要があります。 - セキュリティの重要性を再認識
外部とつながっていること、それにより大切な情報がやり取りされていることを再認識すると、自ずとセキュリティの重要性を感じるはずです。IoTの運用にはリスクが背中合わせであること、リスク対策としてセキュリティが非常に大切であることを再認識しておきましょう。 - 管理しているIoTシステムの再認識
自社が管理しているIoTシステムを確認し、その状態を把握します。現在のIoTシステムの状態(システムの種類、数、配置場所、接続状態など)を正確に把握することで、適切なセキュリティ対策が可能です。 - 通信経路の再認識
IoTシステムがどのような通信プロトコルやネットワークを使用しているか、どのようなデータが送受信されているかなどを把握します。その結果、適切なセキュリティ対策ができるようになるでしょう。
具体的なIoTセキュリティ対策
では、それらのリスクに対して具体的な対策としてはどのような方法があるでしょうか。
ネットワークを限定
外部からの攻撃を防ぐためには、外部との通信を遮断するのがもっとも有効ですが、それではIoTの有用性と逆行してしまいます。そこで、ネットワークを限定し、必要なときに必要なところとのみ通信を行うシステム構成が必要となります。
通信経路の棚卸しを行い、ネットワーク構成を可視化できる仕組みを作っておきましょう。また、標的になりやすいtelnetの開放ポートは放置しない、接続の必要がないIoT機器は遮断するなどの措置を取ります。
また、現場側で処理を行うエッジコンピューティングの導入も、ネットワークの限定によるセキュリティ対策として有効です。
デフォルトパスワードを使用しない
多くのマルウェアはIDやパスワードの総当たり攻撃により侵入を試みます。その対策としては、デフォルトのIDやパスワードをそのまま使用し続けることは避け、変更した解読されにくいものを使用しましょう。
突破されにくいIDとパスワードを使用することがセキュリティ対策の第一歩であり、最大の防御策でもあります。
最新のファームウェアにアップデート
IoTに対する攻撃の手段は進化し続け、常にセキュリティホールも探され続けています。これに対抗するには、IoTを運用するアプリケーションのファームウェアが最新の状態で保たれていなければなりません。
不明瞭・不要な機器の使用・接続を避ける
製造元が不明瞭であったり、サポート対応が怪しかったりするような機器の使用は避けましょう。その機器に悪意はなくても、攻撃されやすい脆弱性のもととなる可能性があります。また、使っていない、あるいは通信の必要はないIoT機能を備えた機器は電源を切る、またはネットワークへの接続を遮断しておくようにしましょう。
社員へのセキュリティ教育の徹底
IoTでのデータ収集・分析の作業をスマートフォンやタブレットのように常に携帯するデバイスで行う場合もあります。そこで、紛失・盗難のリスクを避けるため、社員へのセキュリティ教育の徹底は欠かせません。システムでのセキュリティ対策と同時に社員教育も実施しましょう。
IoTの普及とともにセキュリティの重要性も増大
IoTの普及により、製造業は第4次産業革命と言われるほど革新的な発展を遂げています。その一方で、あらゆる機器がインターネットにつながることによりセキュリティリスクが増大しているのも事実です。IoTを有効に活用していくためには、セキュリティに対する意識と対策も不可欠のものなのです。
