新型コロナウイルスにより在宅勤務が増えたことで、家で過ごす時間が増え、利便性を向上させるIoT機器が注目されています。IoT機器は、インターネット接続や専用アプリと連携することにより、多種多様な機能を利用できる便利な製品ですが、それと同時にサイバー攻撃のリスクにも晒されています。
本記事では、近年増大しているサイバー攻撃からIoT機器を守るため、IoT機器利用者とIoT機器メーカーそれぞれがどのようなセキュリティ対策を実施すればいいのか、一緒に見ていきましょう。
そもそもIoT機器とは
IoTとは「Internet of Things(モノのインターネット)」の略称です。つまり、IoT機器とはWi-Fiを経由してインターネットに接続し、遠隔操作や他機器との連携などを行える製品を指します。 近年では、冷蔵庫や掃除機、スピーカーといったさまざまな機器がインターネット接続できるようになり、IoT家電は「スマート家電」とも呼ばれています。
さらに、家全体をスマート化していく「スマートホーム化」という言葉があるほど、IoT機器は、利用者にとってますます身近な存在となっています。
従来の機器に比べ、非常に利便性の高いIoT機器ですが、インターネットに接続するという特性上、悪意あるサイバー攻撃のリスクも生じるため、IoT機器利用者・IoT機器メーカーの双方が、使用・提供にあたって適切なセキュリティ対策も行わなければなりません。
サイバー攻撃悪用の恐れがあるIoT機器の調査を強化
総務省、国立研究開発法人情報通信研究機構(NICT)およびインターネットプロバイダが連携して、脆弱なID・パスワード設定等が原因でサイバー攻撃に悪用されるおそれのあるIoT機器の調査や、サイバー攻撃に悪用されるおそれのある機器の利用者への注意喚起を行っている「NOTICE」の活動によると、2021年8月度の注意喚起の実施状況では、1,790件となっており、決して少ない件数ではないことがうかがえます。
また、サイバー攻撃の数も増加傾向にあり、ダークネットに届いたパケットの件数でサイバー攻撃を観測しているNICTの「NICTER観測レポート2020」によると、観測されたパケット数は年々増加しており、2020年は前年比約1.5倍の結果が出ています。さらに、宛先ポート番号別パケット数分布をみると、IoT機器も多く該当しています。※1
※1 出典:「宛先ポート番号別パケット数分布(調査目的のスキャンパケットを除く)」(情報通信研究機構 NICTER 観測レポート 2020 より)
URL : https://www.nict.go.jp/cyber/report.html
IoT機器が受ける可能性のあるサイバー攻撃としては、以下が挙げられます。
マルウェアによる情報漏洩
IoT機器がインターネット経由でマルウェアと呼ばれる悪意あるソフトウェアに感染すると、IDやパスワード等の重要情報が漏洩し、フィッシング詐欺などの被害に繋がる可能性があります。
ランサムウェア感染によるファイルの暗号化
ランサムウェアよってファイルが暗号化され、IoT機器に自由にアクセスできなくなってしまうことがあります。
ボットネット組み込みによるサイバー攻撃への参加
ボットネットは、機器の脆弱性に付け込み、感染によってIoT機器自体が乗っ取られることがあります。さらには、IoT機器を次々と感染させ、他の機器にも感染を拡大させるリスクもあります。
最悪の場合、企業や組織、基幹インフラにDDoS攻撃(分散型サービス妨害)を仕掛けられるリスクもあるため、被害が起こる前に対策が必要です。
IoT機器をサイバー攻撃から守るためのセキュリティ対策
上記のようなサイバー攻撃からIoT機器を守るには、IoT機器利用者は、OSやファームウェアをこまめにアップデートし、システムを常に最新の状態に保つことです。メーカー側が配信するアップデート内容には、システムの脆弱性を修正できるものも含まれるため、更新プログラムの通知や自動更新なども活用し、更新漏れが発生しないようにしましょう。さらに「パスワードを複雑なものにする」「2重3重の認証機能を採用する」など、利用者側としてもセキュリティ要件を複雑にする手段があります。
またIoT機器をインターネットに接続する際に利用するWi-Fiのルーターがサイバー攻撃にあうと、家中のIoT機器がすべて脅威に晒されるリスクが発生します。そのため、Wi-Fiルーターに関しても、パスワードの変更や更新プログラムのこまめなインストールが必要です。
「電子証明書」の導入でIoT機器のセキュリティを向上
近年、サイバー攻撃の件数は増加傾向にあり、その手段も多様化しているため、IoT機器に対するセキュリティ対策の重要性も増していくと言えるでしょう。IoT機器をサイバー攻撃から守る手段として、IoT機器メーカーは、IoT機器向け電子証明書をIoT機器にインストールすることで、特定のシステムやデータやファイルへのアクセス制限を行い、セキュリティを向上させることが可能です。
署名済データをクラウドで共有し、機器ごとに設定しているサーバやデータなど、アクセス可能な情報を定義し、権利と許可情報を設定することで、電子証明書が「関所」の役割を果たします。
今後も様々なIoT機器が登場していくことが予想される一方で、セキュリティ対策を怠ることで利用者側はハッキング、個人情報が漏洩し、メーカー側は損害賠償、信頼失墜の可能性もあります。事故を未然に防ぐためも、IoT機器のセキュリティは使う側、提供する側、両方のセキュリティ対策が重要です。