マイナビニュースマイナビ

IoT時代のサイバー犯罪に備えよ! 知っておくべき「課題」と「対策」

[2017/10/12 08:00]伊藤正子 ブックマーク ブックマーク

「製品選定」「システム構築」「運用」のポイントは?

「WindowsやLinuxの世界では、OSの更新が頻繁に行われ、セキュリティパッチも出ていますし、脆弱性対策もマルウェア対策もあります。しかし、どれ1つとってもIoTにはありません。OSはアップデートしないし、したとしても自動ではなかったりします。アプリについても同様で、ホームルーター用、監視カメラ用といったIoT機器用のウイルス対策ソフトも売っていませんよね。これからもしばらくは登場しないと思います」

小山氏はIoTのセキュリティの状況についてこう語り、実際に国内外で起きたIoT関連のサイバー事件を紹介していった。

最初に紹介されたのは、米国で自動車の操作権限が奪取されたケースだ。ある自動車販売店が分割払いで販売した自動車に対し、返済が滞ると遠隔操作によってエンジンがかからなくする仕組みを搭載していたのだが、同店を解雇された従業員が腹いせに遠隔サーバに不正アクセスし、100台以上を操作不能な状態に陥れたのだという。遠隔操作によって何が起き得るかを教えてくれた事例である。

小山氏は「重要なのは、例えばカーナビにどんな部品を使っているかということが、把握できていなかったりすることです。いろいろな物が組み合わさって出来上がっている自動車の中でちょっとした隙があれば、それを突かれて大事故が起きる可能性があります」と小山氏は警鐘を鳴らす。

「ただし、ご安心ください。今乗っている自動車を(悪意ある攻撃者が)ハッキングするところまで、世の中は進んでいません」(小山氏)

米国では、遠隔操作の危険性がある自動車140万台がリコール対象になったケースがあるほか、交通サイネージが不正に書き換えられる事件なども起きているという

一方国内の事例では、脆弱なホームルーターがDDoS攻撃の踏み台にされたケースや、インターネット利用者1,500人分の認証情報を不正取得し、不正中継サーバを介して不正送金などを行った事件が紹介された。

ホームルーターのように比較的安価なIoT機器が攻撃の踏み台になったからといって、プロバイダーが動くとなると費用はかさみ、解決するまでには相応の期間もかかる。「社会として、どういう風に安全な仕組みを実現していくかがこれからのテーマ」だと小山氏は強調する。

ホームルーターや監視カメラといったIoT機器には、最初からセキュリティを盛り込んでおく「セキュリティバイデザイン」が重要となる。とは言え、ユーザー企業は自分でそういった製品を作るわけではないので、既存の製品のなかから選ぶしかない。

小山氏は、製品選定のポイントとしてこの3つだけは覚えておいてほしい、と「安全なパスワード管理」「簡便なファームアップデート」「Wi-Fiの設定管理」を挙げた。

「パスワード管理については、デフォルトパスワードで動かそうとするとアラートが出るといったレベルで構いません。アップデートについては、電源をオンにすると新しいファームウェアを取りに行くような仕様でもいいと思います。不用意に怪しいWi-Fiに繋がらない設定ができることも重要です」(小山氏)

また、システム構築のポイントとして「インターネットに直接繋がないこと」「IoTセキュリティゲートウェイの利用」を挙げ、「パスワードは後で変えればいいやと安易にインターネットに接続すると、繋がった瞬間、一瞬にして乗っ取られかねません。例えば、IoTセキュリティゲートウェイや、IPマスカレードを利用するのでも十分に効果があります」と説明する。

そして、運用のポイントは「安全に『システムのソフトウェア更新や設定変更』を行う仕組みを持つこと」だ。1台、2台の機器のソフトウェア更新や設定変更ならば容易だが、IoT機器の場合はそうはいかないだろう。

「(1台1台が)安価だからと気軽に導入して、後で大変な目に遭わないような仕組みと体制を作っていただきたい」(小山氏)

※ 本記事は掲載時点の情報であり、最新のものとは異なる場合がございます。予めご了承ください。

もっと知りたい!こちらもオススメ

5日間の収穫は知識と技術、そして「きっかけ」- セキュリティ・キャンプ全国大会2017(前編)

5日間の収穫は知識と技術、そして「きっかけ」- セキュリティ・キャンプ全国大会2017(前編)

セキュリティ・キャンプ実施協議会と情報処理推進機構(IPA)は8月14日~18日、「セキュリティ・キャンプ全国大会2017」を開催した。本稿では、レポート前編として、大会の趣旨を紹介するとともに、3日目に行われた実践を伴う講義「サイバー犯罪捜査の現場」の模様をお届けする。

関連リンク

この記事に興味を持ったら"いいね!"を Click
Facebook で TECH+ の人気記事をお届けします
注目の特集/連載
[解説動画] Googleアナリティクス分析&活用講座 - Webサイト改善の正しい考え方
Google Workspaceをビジネスで活用する
ニューノーマル時代のオウンドメディア戦略
ミッションステートメント
教えてカナコさん! これならわかるAI入門
AWSではじめる機械学習 ~サービスを知り、実装を学ぶ~
Kubernetes入門
SAFeでつくる「DXに強い組織」~企業の課題を解決する13のアプローチ~
AWSで作るマイクロサービス
マイナビニュース スペシャルセミナー 講演レポート/当日講演資料 まとめ
セキュリティアワード特設ページ

一覧はこちら

今注目のIT用語の意味を事典でチェック!

一覧はこちら

会員登録(無料)

ページの先頭に戻る