技術の進歩で、家電や住宅の一部など非デジタルだったものが徐々にIoT化する波がきています。しかしネットにつながるという事は、同時にサイバー攻撃を受けるリスクを回避出来ない無い事を意味します。今後、IoT機器を活用するうえでの、リスクや注意しておきたいポイントについてご紹介します。

IoT機器に対するサイバー攻撃=「IDDos」の増加

IoT機器が普及する中、IoTに対するサイバー攻撃が既に世界で発生しています。代表的なものに「IDDos攻撃」が有ります。IDDos攻撃は2段階のステップで発動されます。第一段階ではIoT機器のセキュリティーホールを利用して、ウイルスなどによりIoT機器の制御を乗っ取ります。第二段階では乗っ取った多数のIoT機器から特定のサーバーなどに大量のデータを送り付け、ネットワークを混乱させるのです。従来は通信機能を持つコンピュータを利用したDDos攻撃が行われていましたが、IoT機器も同様の通信機能を持っているため、ターゲットとされ始めました。IoT機器の普及の広まった2016年頃から爆発的なIoTウイルス感染被害が確認されています。

サイバー攻撃の事例

2016~のIDDos

2016年に発生した大規模なIDDos攻撃としてはセキュリティージャーナリストであるブライアン・クレブス氏のWebサイト「Krebs on Security」への攻撃やDNSサービス大手の米「Dyn」への攻撃が挙げられます。これらのIDDos攻撃には主に米企業製の監視カメラやネットワークカメラに感染し、多くの亜種も確認されているマルウェア「Mirai」が用いられていました。
また2017年には、パソコンに感染し暗号化したデータの身代金要求攻撃を行うウイルス「WannaCry」にIoT機器が感染しているケースも報告されています。IoTデバイスには入力インターフェースがなく無効な攻撃でしたが、パソコンと同様にネットワークに接続されているIoT機器にも大きな脅威が発生している事を示し、今後のIoTセキュリティ対策につながる大きな事件として影響を与えました。

想定されるリスク

今後、現在よりも格段に多くの機器がネットワークに接続されることが予想されています。自動車や医療機器などがネットワークに接続され、リアルタイムでの情報共有を受ける事によるメリットは計り知れません。しかし、ネットワーク機器にウイルスが感染すれば制御できず人命にかかわるリスクが発生します。一般家庭にある家電や、工場の生産ライン、インフラなどもIoT化が進んでいますが、これらの制御システムが乗っ取られると生活が出来ない、生産ラインが動かない、電機や水道が止まるなど大きな混乱を引き起こす事が懸念されます。
IoT機器による利便性の向上と同時に、スマートホームやスマートシティ化は利便性と同時に大きなリスクを抱えているのです。ネットワークを通じたサイバー攻撃ですが、その影響はファイルが破損、インターネットにつながらないというレベルではなく、生活機器やインフラを通して物理的な被害を引き起こす可能性を持っています。

IoT機器の脆弱性はどこにある?

TELNET

TELNETは1983年から利用されている遠隔通信のサービスです。通信が暗号化されておらず外部から丸見えのため、サービスが有効にされている場合クラッカーにより管理者権限でPCにアクセスされてしまう可能性が有り、ウイルスの感染経路ともなります。

セキュリティサポートの欠如

PCやスマートフォンなどのデバイスと異なり、IoT機器には入力インターフェースが無いため、セキュリティ設定やセキュリティソフトのインストールなどを直接行う事が出来ません。また、そもそもIoT機器のサポートする側の知識やリソースが足りていないため、比較的セキュリティの低い環境に置かれています。発売後に脆弱性が発見されても、対応が追い付かず野放しとされている場合も。また消費者となるユーザーもIoT機器に対するセキュリティ知識が不足しており、脆弱性が放置されているケースも多いのが現状です。

IoTセキュリティに対する動き

業界全体の対策

業界全体では、サポート体制の充実や定期的なアップデートシステムの構築など、根本的なセキュリティ技術の強化が求められています。
現在国の研究法人「情報通信研究機構」では、セキュリティ技術の開発を行っており、研究成果が業界に落とし込めれば、ビジネスやコンシューマー向けのサイバー攻撃のリスクを軽減できるでしょう。
また、NTTセキュリティでは、IoTセキュリティの専門家を育成するために、学習プログラムの提供を開始しています。その他の企業でもセキュリティ技術や対策に関連するセミナーを行っているので、ネットワーク機器を業務で使用している、又は開発予定のある場合は情報収集したほうが良いでしょう。

行政の対策

日本では、総務省により認証マーク制度の導入が検討中です。機器の情報セキュリティレベルを保つため、定期的にファームウェアのアップデートを促すなど一定の基準を満たした場合に認証される予定です。
また、経済産業省からは、IoTセキュリティガイドラインや、開発者向けの設計に関する手引きなども公開しセキュリティリスクの喚起をしています。

個人での対策

明確な基準はありませんが、大手メーカー品の物の方がセキュリティに関する対策も充実している傾向にあります。メーカーのはっきりしない格安の製品などではセキュリティ面の信頼性も低くなります。利便性だけにとらわれず、スマートホームに住む者として自覚を持ち、脅威への対策や情報することをおすすめします。

周辺機器のIoT化は慎重に

生活の利便性を向上させる為、生活の中へのIoTの浸透はますます増えることでしょう。しかしながら同時に高まるIDDosのなどの脅威は機器業界や国家レベルでも認識が深まっています。IoT導入にまつわるリスクを完全になくすことは困難ですが、自己防衛のためにもセキュリティ向上の今後の動向には注意が必要です。