IoTとはInternet of Things、すなわちモノのインターネットと訳され、車や住宅、家電がインターネットに接続されて活用する仕組みを指しています。
さまざまなものがインターネットに接続され、私たちの生活に欠かせないものとなっているIoT機器ですが、同時にIoT機器を狙ったサイバー攻撃は後を経ちません。
今回はIoT機器における脆弱性の要因や事例、対策を紹介します。
IoT機器はオフィス以外の農業や医療施設などにも普及
外出先から電源を入れられるエアコンやペットを見守るカメラ、家中の家電がスマートフォンで操作できるようになるなど、IoT技術はここ20年ほどで私達の生活の中に広く浸透してきました。
特に近年では新型コロナウイルスの流行により、これまでと違った生活様式が求められています。過ごす時間が長くなった自宅で、より快適に過ごしたい背景から、IoTも促進される結果となったといえるでしょう。またIoTは家庭やオフィスに限らず、農業や工場、医療施設などさまざまな分野でも普及されるなど、新たな活用方法が見出されています。
その一方で、IoTはサイバー攻撃に遭いやすいデメリットも存在することを忘れてはいけません。ここからはIoT機器における脆弱性の要因と、サイバー攻撃の事例や対策について詳しく見ていきましょう。
サイバー攻撃に関する情報は、以下の記事も参考にしてみてください。
IoT機器の脆弱性要因は3つ
IoT機器がサイバー攻撃に遭いやすい要因としては、以下の3つが挙げられます。
- IoT機器がそもそもサイバー攻撃に狙われやすい特徴を持っているため
- ソフトウェアが脆弱であるため
- ユーザーのセキュリティ意識が不足しているため
順番に見ていきましょう。
IoT機器がそもそもサイバー攻撃に狙われやすい特徴を持っているため
オフィスや家庭、工場、介護施設などさまざまな場所で使用されるIoT機器は、それぞれの目的をもって使用されているため、機器の性能が限定されています。
この限定された性能の脆弱性を突かれてしまうと、容易にサイバー攻撃の被害にあってしまう可能性があります。
また、管理が行き届かない場所に設置されたものやライフサイクルが長い機器は、メンテナンスやセキュリティ対策が十分でない場合が多く、サイバー攻撃に遭いやすい特徴を持っているといえるでしょう。
参考記事:「DoS攻撃/DDoS攻撃とは?目的と種類・対策方法をわかりやすく解説」
ソフトウェアが脆弱であるため
IoT機器は小さくてもコンピュータが搭載されています。
そのコンピュータを動かすソフトウェアが脆弱であれば、使用しているIoT機器も脆弱性が生まれてしまいます。
また限られた処理能力とハードウェアの限界から、強固なセキュリティとデータの保護が行えない場合も考えられます。他にも、数多くの伝送技術を利用しているため、伝送技術利用時にセキュリティ保護機能を両立できない可能性もあります。
今現在使用しているIoT機器にどれだけのセキュリティ能力があるのか、診断サービスなどで定期的に調べておくことも大切でしょう。
脆弱性のあるソフトウェアが多くの機器に搭載されていた場合、サイバー攻撃によって広範囲の被害をもたらしてしまう可能性もあります。
ユーザーのセキュリティ意識の不足しているため
IoT機器の問題ではなく、利用するユーザーのセキュリティ意識が不足している点も、脆弱性要因のひとつです。
IoTは形状が異なるものの、パソコンやスマートフォンと同じようにコンピュータが搭載されています。そのように見えない外見のせいか、パソコンやスマートフォンにはサイバー攻撃の対策を行っているものの、IoT機器には何も対策を行っていない人も少なくありません。
極端な例では、機器へのアクセスに使用するユーザーIDやパスワードが初期状態から変更されていない場合もあり、そのような機器はサイバー攻撃の対象となりやすいため注意する必要があります。
IoT機器を狙ったサイバー攻撃の事例
IoT機器を狙ったサイバー攻撃の事例として、以下の4つを紹介します。
- IoT製品などに感染するマルウェア「Mirai」
- 2017年春頃に数十万大に拡大した善玉マルウェア「Hajime」
- 監視カメラを狙ったサイバー攻撃
- Bluetooth接続にひそむ脆弱性を狙ったサイバー攻撃
順番に見ていきましょう。
IoT製品などに感染するマルウェア「Mirai」
MiraiはIoT製品などに感染するマルウェアです。
さまざまなIoT製品の中でもルーターやWebカメラを標的に侵入し、侵入したIoT機器同士を連携させてDDoS攻撃をしかけるボットネット(※)を作り上げます。
Miraiによる被害として有名なのが、2016年にアメリカで起こった事例です。
約5時間もの間、MiraiによるDDoS攻撃によりアメリカのセキュリティ情報サイトやDNSサービスサイトが停止し、大手SNSやショッピングサイトの利用もできなくなりました。
Miraiはソースコードが公開されているためさまざまな亜種が生まれ、その後も亜種による被害が確認されています。Miraiは辞書攻撃に強いため、IDやパスワードが初期設定などの推測されやすいものの場合、簡単に侵入できてしまうので注意が必要です。
※ボットネット…悪意のあるプログラムを使用して乗っ取られた多数のIoT機器で構成されるネットワークのこと
2017年春頃に数十万台に拡大した善玉マルウェア「Hajime」
Miraiとほぼ同時期に出現したマルウェアが、Hajimeです。
HajimeはMiraiと同じく、初期設定のままや推測されやすいID・パスワードを持つIoT機器に侵入すると、感染されたIoT機器同士でボットネットを作成します。
Miraiと同じく多くの被害をもたらすものと思われましたが、Miraiの亜種を寄せ付けないよう感染したIoT機器のポートを閉じるなど、Miraiから機器を守るような動きを見せました。
またHajimeはDDoS攻撃を仕掛けることはなく、「システムをセキュアにする」といったメッセージが表示されることから、Miraiに対抗するワームとして生み出されたのではないかと推測されます。
そのため善玉マルウェアとも呼ばれていますが、今後悪いものへと変貌を遂げる可能性もあるため注意していかなければなりません。
監視カメラを狙ったサイバー攻撃
上記の事例のほか、監視カメラを狙ったサイバー攻撃も後を経ちません。すべてのIoT機器において、PCと同じように十分なセキュリティ対策をしなければいけないことを認識することが大切です。
実際に監視カメラがウイルスによって乗っ取られてしまうと、初期状態にリセットされてしまったり、監視カメラの映像が外部に流出する危険があります。画像の流出は設置されたカメラ位置によっては情報漏洩へとつながる可能性もあるため、しっかりと管理する必要があるでしょう。
この後の対策でも述べますが、オフィス内のどのような機器がインターネットに接続されているかを把握し、セキュリティ対策がしっかりと行われているのか認識しておくことが大切です。
Bluetooth接続にひそむ脆弱性を狙ったサイバー攻撃
さまざまな機器に搭載されているBluetooth接続も、サイバー攻撃に注意しなければなりません。
Bluetoothはさまざまな機器同士を繋げるための無線方式のことで、Wi-Fiが比較的距離がある場所で使用されることを念頭に置いているのに対し、Bluetoothは近距離での使用が想定されています。代表的なものにパソコンと無線キーボード、スマートフォンとワイヤレスイヤホン、車内デバイスの通信などがあります。
上記のように多くの場面で私達の生活に溶け込んでいるBluetoothですが、脆弱性を狙ったサイバー攻撃はいくつもの事例があります。
Bluetoothの脆弱性は過去いくつも発見されており、その脆弱性を攻撃者によって突かれれば、ペアリングなしでもデバイスへの接続ができ、マルウェア感染や個人情報の搾取をされてしまう危険性があることを理解しておかなければなりません。
IoT機器を狙う脅威への対策
IoT機器を使用していくうえで、サイバー攻撃などへの対応策には以下の4つが考えられます。
- 不正侵入させない設定を行う
- ファームウェアをチェックし常にセキュリティ状態を最新のものにする
- IoT機器を扱うすべての人にセキュリティ意識の共有を徹底する
- ファイアウォールやルーター経由でインターネットに接続する
順番に見ていきましょう。
不正侵入させない設定を行う
IoT機器を狙う脅威への対策は、不正侵入させない設定を行うことです。
たとえば先程のMiraiは、推測されやすいIDやパスワードを総当たりで攻撃する手法である辞書攻撃を得意としています。IDやパスワードなどの識別符号は推測されにくい長い文字列へと設定し、不正侵入させないよう備えましょう。
さらに、設定した識別符号は定期的に変更することも忘れてはなりません。
ファームウェアをチェックし常にセキュリティ状態を最新のものにする
IoT機器を狙う脅威への対策は、ファームウェアのチェックしセキュリティ状態を常に最新にすることです。
ファームウェアとはコンピュータシステムを制御するための装置で、無線LANなどパソコン周辺機器を動作させる重要な役割を担っています。ファームウェアはデバイスのOSと同じく定期的に新しいバージョンが公開されているため、提供されたらなるべく早くアップデートしておきましょう。常にセキュリティ状態を最新のものにすることで脆弱性をカバーできるほか、周辺機器の安定にも繋がります。
IoT機器を扱うすべての人にセキュリティ意識の共有を徹底する
IoT機器を狙う脅威への対策は、対象となるIoT機器を扱うすべての人に、セキュリティ意識の共有を徹底することも重要です。たとえば、オフィスなど複数人いる場所でIoT機器を扱っている場合、セキュリティ意識が共有されていなければ、アップデートを誰も行わないなど、対策が疎かになってしまうリスクがあります。
セキュリティ意識の共有や向上を行うために、社内で定期的に勉強会を行うのもいいでしょう。脅威への対策を万全とするために、全員が同じ意識で管理を行うようにしてください。
直接インターネットに接続しない
IoT機器を狙うサイバー攻撃の脅威からの対策は、単体で直接インターネットに接続するのではなく、ファイヤウォールやルーター経由してインターネットに接続することです。
IoT機器の多くは、そのままインターネットに接続できる利便性が高いものも多いですが、IoT機器はセキュリティ対策の面で不十分な場合もあり、サイバー攻撃の被害を受けやすい場合があります。ファイヤーウォールやルーターといったゲートウェイを経由し、本当にこの通信をして良いのか適宜判断するといいでしょう。
巧妙化し複雑化するサイバー攻撃を防ぐため、エンドポイントセキュリティとゲートウェイでのポイントを組み合わせた多層防御システムでサイバー攻撃への耐性をつけ、最善の方法を模索していくことが大切です。
インシデントは起きるものとして対応準備しておく
インシデント対応とは、インシデントが実際に起こった際にスムーズに対応できるような取り組みを指しています。
上記でIoT機器を狙う脅威への対策を述べましたが、どれだけ対策を行ったとしても、日々複雑化し巧妙化するサイバー攻撃を完璧に防ぐことはできません。
インシデントは起きるものとして、日々対応の準備をしておくことが大切です。
ひと言で対応準備といっても、実際にインシデントが起きた際は以下のような取り組みを行います。
- 識別
- 封じ込め
- 根絶
- 回復
- 教訓
上記の対応の準備としてポリシーとレスポンスプランの作成や、関連部署と担当者の連絡先認知、ドキュメントの作成、チームの編成などがあります。
参考記事:インシデント対応とは?インシデント発生時の対応計画から対策の策定までを開設
一度行ったインシデント対応は教訓として分析し、発生時の対応フローや今後の課題を話し合うことも大切です。
改善が必要なものに関しては文書化し、関わらなかった社員に対しても共有を行うなどしてフォローアップを行っていきましょう。
(まとめ)IoT製品もパソコンやモバイル端末などと同じリスクを負う
IoT機器は、オフィスや自宅だけではなく農業をはじめさまざまな分野で活用され、生活の中に溶け込みつつあります。
しかし見た目や特徴などからコンピュータであることを忘れて対策を怠ってしまうと、パソコンやモバイル端末などと同じくサイバー攻撃に遭う可能性も否定できません。
今回ご紹介した対策を行い、IoT機器を狙うサイバー攻撃に備えましょう。
インシデントは起きるものという前提での準備が必要ですが、まずは一人ひとりのセキュリティ意識を上げることも大切です。
[PR]提供:セキュアワークス
