IoT

IoTのセキュリティ問題とは?課題・機器に対するサイバー攻撃の実例を解説

IoTのセキュリティ問題とは?課題・機器に対するサイバー攻撃の実例を解説

目次

「IoTの導入を検討しているけれど、セキュリティ面で不安がある」
「IoTのセキュリティに関する問題や対策方法を知りたい」

上記のような悩みを抱えている方もいるのではないでしょうか。IoTはセキュリティ面に課題があり、IoTを狙ったサイバー攻撃は増加しています。 情報漏洩やDDoS攻撃(インターネット上のサービスを停止させるために行われるサイバー攻撃の一種。詳細は後述)の踏み台にされるなどの事例もあり、サイバー攻撃を防ぐためのセキュリティ対策が欠かせません。

本記事ではIoTのセキュリティ問題やサイバー攻撃の実例、IoTのセキュリティ対策方法を解説します。IoTのセキュリティ問題に関するよくある質問も解説するため、IoTのセキュリティ問題や具体的な対策方法を知りたい方は、ぜひご参考ください。 

課題が多い?IoTのセキュリティ問題

IoTセキュリティのセキュリティ問題としては、主に以下の6つが挙げられます。

  • 個人情報が流出するかもしれない
  • 社内の機密情報が流出するかもしれない
  • DDoS攻撃の踏み台にされるかもしれない
  • 膨大な数のIoT製品すべてに対策を施すのは難しいかもしれない
  • IoT機器内部にセキュリティ対策を直接施すのは難しいかもしれない
  • 保守期間が終わったIoT機器すべてを完璧に処分するのは難しいかもしれない

個人情報が流出するかもしれない

IoTのセキュリティ問題の1つに、個人情報が流出するかもしれないことが挙げられます。IoTは一般家庭で使用される家電や街中に設置された監視カメラなど、さまざまな場所で活用されています。これらの製品がマルウェアなどのサイバー攻撃を受けると、収集した個人情報やプライバシー情報が流出するかもしれません。

例えば、スマートスピーカーがサイバー攻撃を受けた場合、機器に登録している個人情報や機器が収集した音声・映像などが流出するおそれがあります。紐付けているクレジットカード情報が抜き取られることも考えられるでしょう。

また企業の場合だと、IoTで管理している顧客情報が流出することもあり得ます。インターネットにつながっている以上、サイバー攻撃のリスクは避けられません。主なセキュリティ対策は後述していますので、ご参考ください。

社内の機密情報が流出するかもしれない

個人情報だけでなく、社内の機密情報がIoTを起点に流出するおそれもあります。例えば、新しい商品開発にIoTを活用している場合、IoTがサイバー攻撃を受けると開発中の情報が外部に抜き取られるかもしれません。顧客や従業員の情報をIoTで一元管理していれば、機密情報に限らずさまざまな情報が流出してしまうでしょう。これらの被害を受けた場合、安全管理ができない会社として社会的な信頼を失うことになりかねないでしょう。

そしてサイバー攻撃を受ける際、以下のような経路が挙げられます。

  • メールに添付されたファイル
  • Webサイト
  • アプリ
  • ファイル共有ソフト

方法は問わず社用パソコンがマルウェアに感染すると、そこからIoTを含むシステムへの侵入をゆるし、結果的に機密情報を抜き取られるおそれがあります。社内のIoTへのサイバー攻撃を防ぐためには、マルウェアに感染しない対策も必要です。

DDoS攻撃の踏み台にされるかもしれない

DDoS攻撃の踏み台にされ得ることも、IoTセキュリティの代表的な問題として挙げられます。DDoS攻撃とは、多数の端末から特定のWebサイトなどへアクセスをしかけ、サーバーへ負荷をかけてダウンさせる攻撃方法です。サーバーがDDoS攻撃を受けて、データ処理の負荷に耐えられなくなると正常な処理ができなくなり、サーバーを通じて提供されているWebサービスが利用しにくくなります。

例えば、以下のような事例があります。

【OVH(フランス)】
・自社保有サーバに対し、Miraiに感染したとされる約14万台以上のIoT機器から、最大1.5Tbpsとなる世界最大規模のDDoS攻撃が発生

・南欧諸国からOVHのサーバーを利用するサービスへのアクセスの遅延が発生

 引用元:総務省|サイバーセキュリティ等に係る現状と課題について|2ページ目(2024年2月5日時点)

 この事例のように、IoTを踏み台にしたDDoS攻撃に用いられるマルウェアとして有名なのが『Mirai』です。感染したデバイスを遠隔操作できるように乗っ取るマルウェアで、主にセキュリティが脆弱なIoTを標的にします。IoT機器が知らない間にマルウェアに感染し、DDoS攻撃の踏み台に利用されるリスクがあります。

膨大な数のIoT製品すべてに対策を施すのは難しいかもしれない

膨大な数のIoT製品すべてにセキュリティ対策を施すのは難しいかもしれません。多数のIoT製品へ対策するには、コスト面や管理面で大きな負担がかかります。

IoT製品を複数導入している場合、製品ごとの特性に合わせたセキュリティ対策が必要です。しかし、セキュリティ対策を施すには相応のコストが生じます。セキュリティ対策を施す機器の数が増えれば、その分対策にかかるコストも増大します。

また、IoT製品にセキュリティ対策を施した場合でも、問題が発生していないかのチェックは欠かせません。製品数が少なければ1つずつチェックできても、数が多くなればなるほど、チェックの手間がかかり管理が煩雑になります。

このように、導入した製品数が多ければ多いほど管理にかかる負担が増大します。この負担は一時的な負担ではなく、IoTを利用する中、常にかかり続ける負担となります。こうした負担も考慮すると、すべてのIoT製品に万全なセキュリティ対策を施すのは難しい可能性があります。負担軽減のために、セキュリティ対策が施されている機器や、多数のIoT機器を一元管理できるシステムの導入などを検討しましょう。

IoT機器内部にセキュリティ対策を直接施すのは難しいかもしれない

IoT機器内部にセキュリティ対策を直接施すのは難しいかもしれないことも、IoTのセキュリティ上の問題に挙げられます。IoT製品の特性上、セキュリティ対策を後付けできない仕様になっている可能性があります。

比較例として、パソコンやスマホなどの一般的な操作デバイスであれば、専用ソフトを後から導入する、システムをアップデートするセキュリティ対策が可能です。また、デバイスの画面を見ながら細かく設定を調整できます。

しかしIoT製品はシステムがパッケージ化され、後から変更できない仕様になっていることもしばしばあります。パソコンなどのように設定を確認できる画面はなく、機器内部の設定を変更するには専門的な知見が必要な仕組みになっている可能性があります。そうなるとパソコンなどのように、導入後に適宜機器そのもののセキュリティを高めるのは難しいです。導入前の時点で十分なセキュリティ対策が実装されているものを選ぶことが大切です。

なお製品によっては、機器の異常や不正アクセスを検知するシステムが組み込まれているものもあります。具体例は以下の通りです。

  • 多要素認証
  • 不正アクセス検知
  • デバイスの異常検知
  • プログラムの改ざん検知
  • 異常時のネットワーク自動遮断機能

サイバー攻撃を防ぐだけではなく、攻撃者による攻撃を迅速に察知する、他の機器や連携するシステムに被害が広がらないようにするなどの機能が付与されたIoT機器もあります。導入時には機器内部にセキュリティ対策の機能が搭載されているか、搭載されている場合は、その内容をよく確認しましょう。

保守期間が終わったIoT機器すべてを完璧に処分するのは難しいかもしれない

保守期間が終わったIoT機器すべてを完璧に処分するのは難しいかもしれません。役目を終えた機器を処分する際には、データを適切に消去する必要があります。しかし、このデータ消去のプロセスが完璧にされない場合があります。この点を留意するようにしましょう。

まずIoT機器は、内蔵メモリだけでなく、クラウドや連携する他のデバイスにもデータを保存している場合があります。すべてのデータ格納場所から格納されているデータを完璧かつ安全に消去することは、技術的に複雑な作業になるかもしれません。消去しない領域と消去する領域の分別を要し、知識やリソースの不足が懸念される場合、自社で完璧に対応するのは難しいでしょう。

対策は、IoT機器を処分する前に、メーカーの指示に従って工場出荷時の状態にリセットする、専門のデータ消去ツールを使用する、または専門の事業者に依頼するなどが挙げられます。機器をクラウドサービスに接続している場合は、関連するアカウントを削除または解除しておくことも必要です。自社で対応する際に少しでも不安がある場合は、処分に着手する前に信頼できる事業者に相談すべきでしょう。

IoT機器が標的に!サイバー攻撃の実例を解説

IoT機器が標的になった実例の中から、以下の3例を解説します。

  • 脆弱性が存在する複数のIoT機器を標的にされた事例
  • 防犯カメラへの不正アクセスが発生した事例
  • 盗撮・ウィルス拡散・他企業への攻撃の踏み台にされた事例

脆弱性が存在する複数のIoT機器を標的にされた事例

IoTがサイバー攻撃を受けた事例の中には、脆弱性が存在する複数のIoT機器が標的にされたケースがあります。事例の概要は以下の通りです。

 警察庁のインターネット定点観測において、複数の IoT 機器を標的としたアクセスの増加を観測しました。
令和2年 11 月下旬頃より宛先ポート 37215/TCP、同 12 月中旬頃より宛先ポート52869/TCPに対するアクセスの増加を観測しました。これらのアクセスは、宛先 IPアドレスと TCP シーケンス番号の初期値が一致する Mirai ボットの特徴を有しています。

 引用元:警察庁|脆弱性が存在する複数の IoT 機器を標的としたアクセスの増加等について|1ページ目(2024年2月5日時点)

 この事例では、IoT機器を標的にしたアクセス数の変化を警察庁が観測しています。観測したアクセスはマルウェア『Mirai』の特徴を有していたことから、IoT機器を標的としたサイバー攻撃であることがわかります。

 解析により判明したアクセスの目的は、不正プログラムのダウンロードと実行です。特定の製品の脆弱性を突いて、使用者が意図しない不正プログラムをダウンロードするケース、悪意あるプログラムを実行されるおそれがあることが判明しています。脆弱性がある製品を複数使用している場合、不正プログラムに感染した機器から他の機器へと感染が拡大するかもしれません。

防犯カメラへの不正アクセスが発生した事例

IoTで管理していた防犯カメラへの不正アクセスが発生した事例があります。事例の経緯は以下の通りです。

①ネットワーク型防犯カメラを設置
②初期設定のID、パスワードのまま使用する
③ネットワークにつながらない
④不正アクセスが判明

参考元:福岡県警察|県内をはじめ防犯カメラ(IoT機器)への不正アクセス被害が発生(2024年2月5日時点)

 不正アクセスにつながった原因として考えられるのが、IDやパスワードを初期設定のまま使用したことです。予め設定されたIDやパスワードは、単純な組み合わせであることが多いです。そのためIDやパスワードを初期設定のまま使い続けると、組み合わせを総当たりする攻撃で推測されやすい傾向があります。IoT機器を導入した場合、IDやパスワードは初期の設定値から変更すべきです。

 また機器によっては複数の機能が搭載されており、必要ない機能を利用する設定になっているケースもあります。複数の機能を利用していれば、その分通信頻度や稼働時間も増え、攻撃されるリスクが高まるかもしれません。必要な機能を見極めて、必要ない機能は無効化することも大切です。

盗撮・ウィルス拡散・他企業への攻撃の踏み台にされた事例

IoT機器が乗っ取られることで、盗撮やウィルス拡散、他企業への攻撃の踏み台にされる事例もあります。事例の概要は以下の通りです。

 防犯用、業務用のネットワークカメラが「操作不能となる」「画像を不正に盗み見られる」「記録データや設定を改ざんされるなどの被害を受ける。
ファックスや複合機(プリンター)へ外部から接続され、コピーや印刷したファイルが盗み取られる。
遠隔操作を目的とするウイルスや不正プログラムに感染させられ、サイバー攻撃の踏み台とされる。
エアコンなどのIoT機器を遠隔操作され、生活に支障をきたす。

引用元:愛媛県警察|IoT機器を御購入されるお客様へ(2024年2月5日時点)

 IoT機器が乗っ取られると情報を抜き取られるだけでなく、システム内の情報や設定が改ざんされるリスクが重なります。特に設定が改ざんされると操作自体ができなくなり、システムを利用できない状態に陥るかもしれません。機器の制御権限を攻撃者に奪われるおそれもあります。

 また、IoT機器が一旦マルウェアに感染すると、DDoS攻撃の踏み台にされるおそれもあります。利用者の知らない間にサイバー攻撃に加担し、加害者になるおそれがあるため、注意が必要です。

 問題発生回避!IoTセキュリティの対策方法を解説

問題発生を回避するためのIoTのセキュリティ対策方法を3つ解説します。

  •  定期的にパスワードを更新する
  • セキュリティに強い環境を作る
  • 定期的にファームウェアをアップデートする

パスワードを定期的に更新する

初期設定時に限らず、IoTのパスワードは適宜更新しましょう。導入時にパスワードを変更し、利用中も適宜変更することで、不正アクセスを受ける可能性を低減できます。

ただし、他のサービスで利用しているパスワードを使い回したり、推測されやすい文字列にするのはやめましょう。パスワードを使い回している場合、IoTからではなく別サービスからパスワードが流出してしまうおそれがあります。攻撃者は盗取したパスワードが使いまわされている可能性を考慮します。もちろんIoTへの攻撃に利用される可能性も否定できません。

また、推測されやすい文字列をパスワードに使っている場合も不正アクセスを受ける危険が増します。個人名や誕生日などの推測されやすい情報はパスワードに入れないようにすることが大切です。

 パスワードを設定する場合は、以下の要素をランダムに混ぜたものを設定しましょう。 

  • 大文字
  • 小文字
  • 特殊文字
  • 数字
  • 記号

 IoTでは推測されにくい文字列をパスワードに設定し、かつ定期的に変更することでセキュリティを高めることができます。

それに加えて、二要素認証の活用もおすすめです。二要素認証とはアクセス時にパスワード以外の要素に基づき認証する仕組みです。例えば、パスワードと生体認証(指紋や虹彩など)を組み合わせる方法が挙げられます。これにより、利用者本人以外のなりすましによる不正アクセスをある程度予防できるようになります。

セキュリティに強い環境を作る

セキュリティに強い環境を作ることも、有効なIoTのセキュリティ対策です。IoT機器そのものに対してセキュリティ対策を施せなくとも、IoT機器を取巻く周辺の環境を強化することでサイバー攻撃を防げる可能性が高まります。

 具体的な方法に、仮想の専用回線を用いるVPNが挙げられます。VPNとは、誰でもアクセスできる共用回線ではなく、特定ユーザーのみが使える専用の回線で通信する方法です。この専用回線を理解するにはトンネルをイメージするのがわかりやすいでしょう。通信の出口と入口が対になってその経路は秘匿されています。これにより、攻撃者が横から侵入したりデータを盗み取ったりするのを防げるでしょう。

 ただし、複数のセキュリティ対策を施すとその分コストや管理の手間がかかるかもしれません。複雑な管理を要するセキュリティ対策を施すと、管理しきれず人的ミスが発生するおそれもあります。セキュリティ対策にかかる負担をなるべく軽減しつつ、適切な対策となるよう心掛けましょう。

ファームウェアを定期的にアップデートする

ファームウェアを定期的にアップデートすることも、IoTのセキュリティ対策の1つになります。ファームウェアとは、電子機器に組み込まれているハードウェアを動かすためのソフトウェアのことです。

ハードウェアの動きを制御する役割を担っており、製品が製品になる過程で搭載されます。しかし、ファームウェアをアップデートせずに放置すると、脆弱性を突かれたサイバー攻撃を受けるかもしれません。

ファームウェアは製品のメーカーが脆弱性や機能を改善して提供するプログラムで、機器のプログラムを新たに提供されたプログラムに更新することをアップデートと言います。機器の不具合や脆弱性の改善などが適用されるため、更新版のファームウェアが提供される度に機器をアップデートするように意識することでリスクをある程度軽減できるでしょう。

ファームウェアの最新バージョンがリリースされた際には、メーカーから更新通知が届くのが一般的です。通知が届いた際にアップデートを行い、常にファームウェアを最新の状態にして利用するようにしましょう。

なお、更新に失敗することなどに起因してファームウェアに障害が発生すると、機器のシステムが動かなくなるおそれがあります。ファームウェアを更新する際はメーカーが指定する手順・ルールに沿って、細心の注意を払いましょう。

IoTのセキュリティ問題でよくある質問

IoTのセキュリティ問題でよくある以下の2つの質問を解説します。

  • そもそもIoTとは何ですか?
  • IoT機器を狙った攻撃はそんなに多いのですか?

そもそもIoTとは何ですか?

IoTとはモノとインターネットをつなぐ技術のことです。日本語では『モノのインターネット』と訳されます。

従来、インターネットにつながるモノはパソコンやスマホなどのコンピューターが一般的でした。コンピューターや通信機器の小型化が進んだことで、従来はインターネットにつながっていなかったさまざまなモノがインターネットに接続できるようになりました。

IoTでは主に以下のことが実現できます。

  • 遠隔監視
  • 遠隔操作
  • モノ同士での通信

IoT機器に取り付けたセンサーでモノの状態を監視する、インターネットを通じてモノへ指示を出して操作するなどを実現できます。さらにインターネットにつながったモノ同士が通信することで、自動で機器を作動させることもできます。

IoTはスマート家電や自動車の自動運転など、日常生活で利用されている多種多様な製品がたくさんあります。製造業や医療などの分野でも活用が広がり、今後さらにさまざまな場面での活用が見込まれる技術です。

なおIoTの詳細は以下の記事をご参考ください。

 IoTとはモノのインターネットのこと!仕組み・実現できること・導入事例を解説

IoT機器を狙った攻撃はそんなに多いのですか?

IoT機器を狙った攻撃は多くなっている傾向があります。総務省が発表している資料によると、2019年に観測されたサイバー攻撃のうち、対象別の攻撃の割合は以下の通りです。

攻撃対象

割合

IoT機器(Webカメラ、ルータ等)

48.8%

Windows

9%

仮想通貨

2%

データベース

1% 

その他

37.4%

参考元:総務省|サイバー攻撃の最近の動向等について 令和2年12月3日|4ページ目(2024年2月5日時点)

 同資料では2019年に観測されたサイバー攻撃は3,279億パケットに及んだたことも報告されています。このうちの半数がIoT機器を狙った攻撃であることから、いかにIoT機器が狙われやすい機器であるかがわかるでしょう。

 先述の通り、IoTは機器そのものへのセキュリティ対策が難しく脆弱性をおびやすい傾向にあります。IoTを導入する際には、悪意をもつ第三者から攻撃される可能性を考慮したうえでセキュリティ対策を施すことが大切です。自社のIoTシステムは大丈夫だろうと油断せず、さまざまな攻撃を想定して適切なセキュリティ対策を施しましょう。

まとめ

ここまでIoTのセキュリティ問題に関して解説をしてきました。 サイバー攻撃を受けると情報漏洩やIoT機器の乗っ取りリスクがあるだけではなく、サーバーや他社への攻撃の踏み台にされるかもしれません。場合によってはIoTを利用できなくなることや利用者が知らぬ間に加害者になるおそれもあります。

サイバー攻撃を防ぐには、パスワードの更新やファームウェアをアップデートして最新の状態で利用するなどの対策が効果的です。セキュリティ対策の重要性を理解したうえで、IoTを安心してその恩恵を享受できるようしっかりと対策しましょう。お悩みが生じることもあるかもしれません。その際は、ぜひ当社にご相談ください。

残してきた実績

設立から48年。
大切なものにフォーカスしてきたからこその実績があります。
公共・民間ともに多数の実績を残してきました。

年間プロジェクト数

500PJ

年間取引先・顧客数

200

最長取引年数

47

延べ資格取得者数

1,870