国内でも本格的な5Gサービスが開始され、IoTへの関心がますます高まっています。IoT機器はネットワークにつながっている以上、さまざまな脅威にさらされるリスクが存在します。
IoT機器の安全な利用のために、IoTのセキュリティ対策について今一度確認しておきましょう。
従業員のセキュリティ意識に不安のある方へ
IoTの定義
IoT(Internet of Things)とは、従来インターネットとは無縁だったさまざまなモノがネットワークにつながることです。モノに各種のセンサーと通信機能を搭載し、モノを遠隔で制御・管理できる非常に便利なシステムです。ネットワークにつながる末端のIoT機器は通信端末(エッジデバイス)と総称されます。
身近なものとしては、住宅や建物内で動作しその環境や状況を制御・監視するスマート家電が代表的です。産業分野においても物流業の倉庫や配送管理、スマートファクトリー、農業分野の作物管理など、IoTがさまざまに応用されています。昨今注目されている車の自動運転技術にもIoTが活用されています。
IoT機器のセキュリティリスクについて
IoT機器のセキュリティリスクには3つあります。
- サイバー攻撃の踏み台に
- センサー機器の乗っ取りによる情報窃取
- 不正操作による異常動作や制御不能による事故
一つひとつのIoT機器の機能や性能は限られているからと過信しては危険です。IoT機器が無防備にインターネットに接続されていると、悪用されるだけでなく他にも悪影響を及ぼします。IoT機器の種類によっては重篤な物損事故を起こす恐れもあります。
IoT機器に対する攻撃被害の例に以下があげられます。
スパムメールの発信元にされる
IoT機器にセキュリティの脆弱性があると、スパムメール(迷惑メール)の発信元にさせられることがあります。従来の主な標的はパソコンでしたが、現在ではIoT機器も対象になってしまい、ボット型のマルウェアを仕込まれスパムメール発信の踏み台にされるケースがあります。
世界的なIoT機器の普及を背景に、スマート家電などをネットワーク経由で操って、いわば「モノのボット」として不正行為に悪用される例が発生しています。
DDoS攻撃に加担させられる
DDoS攻撃とは複数のネットワーク上にある多数の端末を操り、標的のサイトやサーバーに一斉に接続、接続先に過大な負荷をかけて機能不全に陥らせるものです。IoT機器もパソコンやスマホのように外部との通信機能を持つため、DDoS攻撃の踏み台にされてしまう恐れがあります。
世界的に有名なものに、マルウェアの「Mirai」が関係する史上最悪規模の事件がありました。MiraiはWebカメラ(防犯カメラ)やデジタルレコーダー、ルーターといったIoT機器を標的とします。2016年10月にMiraiに感染した10万台規模のIoT機器が一斉にDDoS攻撃を仕掛け、そのトラフィック量は毎秒1テラビットという今までに類を見ないものでした。
監視カメラからの情報漏洩
最近は防犯対策や見守りのため、企業や家庭、地域にWebカメラが設置されることが一般的になってきました。このような監視カメラはインターネット経由で遠隔で様子を確認できますが、適切なセキュリティ対策をしないと第三者がカメラにアクセスできてしまいます。
たとえば監視カメラのパスワードははじめはどの製品もまったく同じに設定されています。パスワードを購入時のデフォルト状態のまま変更せずに使用すると危険です。「カメラ映像・音声の不正視聴」「カメラ映像の改ざん」「視聴不能」といった被害にあう恐れがあります。
不正サイトへの誘導
IoT機器を含め、同じネットワーク内の通信機器や端末が外部にアクセスしようとすると、不正なサイトに誘導されてしまうサイバー攻撃があります。原因はトロイの木馬のマルウェアに感染したパソコンやスマホが不正スクリプトを実行し、内外のネットワークをつなぐルーターのDNS情報を書き換えるためです。DNS情報はアクセス先を特定するのに必要なもので、その情報が不正確では正しいサイトにつながりません。
トロイの木馬はパソコンやスマホ、スマート家電をはじめとするIoT機器、ルーターなどあらゆる通信機器に感染します。つまり、トロイの木馬による被害を回避するにはネットワークに接続されているすべてのIT機器にセキュリティ対策が必要なのです。
IoT機器の遠隔操作
最近はさまざまな機器がコンピューター制御されており、しかも遠隔制御のために通信ネットワークを利用することがよく見られます。外部ネットワークから脆弱性のあるIoT機器に侵入され、ネットワーク越しに勝手に第三者に遠隔操作される事案が報告されています。物的な損害のほか、最悪の場合、人命にも関わるリスクが引き起こされます。
たとえば、医療機器や自動車が第三者によって遠隔操作可能な状態にされてしまうことが確認されています。サーバー経由で医療用のIoT機器を制御していたところ、サーバーの脆弱性により、投与する薬の種類や投薬量の改ざんが可能な状態に陥ったケースがあります。また、特定の車種の電子機器のファームウェアが改ざんされ、攻撃コードを送りこんでブレーキやハンドル、エアコンの遠隔操作が可能になった事例があります。
IoTに求められるセキュリティ対策
IoTのセキュリティはさまざまな情報セキュリティ対策と同様に、「トップによる方針策定」「対象範囲とリスクの特定」から始め、個別対策の決定に移ります。IoTに関するおおまかな要点は「ネットワーク接続機器の認識」「経路把握」「不正侵入の防止措置(設定)」となります。
方向性や具体的な実施方法は、すでに一般提供されている以下のガイドラインやチェックリストを参考にされるといいでしょう。
IoT設計・利用における「IoTセキュリティガイドライン」
IoTセキュリティガイドラインは産学官設立の「IoT推進コンソーシアム」と政府により、産業界によるIoTの開発・展開、ユーザーの安全な利用環境の創出を目的に定められました。このガイドラインは「セキュリティ・バイ・デザイン(企画・設計段階からセキュリティ要件を確保)」を基本原則としています。
IoTセキュリティガイドラインでは、IoTの5つのライフサイクル「方針」「分析」「設計」「構築・接続」「運用・保守」の段階に応じた対策ポイントとその解説が示されています。これらは組織の事情に応じて適宜検討します。
以下にIoTセキュリティガイドラインで示された5つの指針の概要を紹介します。
- IoTセキュリティ対策の5つの指針
-
- 方針:基本方針の策定、関係者によるインシデント発生の防止
- 分析:管理対象の特定、ネットワーク接続と物理的なリスクの分析
- 設計:セキュリティ機能の低い機器や、他との接続を考慮
- 構築・接続:IoT機器の初期設定、稼働・通信状況の管理
- 運用・保守:製品・サービスリリース後の対策(ソフトウェア更新、情報提供、注意喚起)
必要なセキュリティ機能を確認できるIoTチェックリスト
IoTセキュリティチェックリストはセキュリティインシデントに関する情報・助言を提供する独立機関、JPCERTコーディネーションセンターが2019年に公開したドキュメントです。
IoT機器の開発や製造、IoTサービス提供に関わる事業者やビジネスユーザーを対象にしたもので、IoT機器を安全に運用するために最低限、実装・確認しておきたいセキュリティ機能がチェックリスト形式でまとめられています。手早く基本的なセキュリティ対策が確認できるよう、平易かつ具体的に39項目を列挙しており、利用ケースに応じて検討します。
手軽かつ迅速に、IoT機器の脆弱性の排除やセキュリティ耐性チェックをしたいなら、このチェックリストを活用しましょう。
まとめ
IoT機器は多様なため一律の効率的な管理は難しいですが、不正侵入を回避するセキュリティ対策が必要です。組織の業務効率化や顧客へのサービス提供にIoTを活用するなら、各種の指針やチェックリストを参考に安全な運用環境を整備していきましょう。
また、IoTやさまざまな要因に伴うセキュリティリスクを防ぐためには、まずは従業員のセキュリティリテラシーを高め、油断やミスを減らしていく工夫が第一歩となります。
こちらの資料では、そうしたセキュリティリスクの代表的な実例と必要な対策についてまとめています。併せて貴社のセキュリティ強化の参考にしていただけると幸いです。
