IoTセキュリティ対策 ~今から学べるIoTセキュリティ入門~

更新日:2018年1月24日

 

世の中で進むIoT化

最近、ニュースなどで「IoT」という言葉を耳にするようになりました。

IoTとは、一体なんでしょうか。IoTは、「Internet of Things」の略称になります。直訳すると、モノのインターネットとなりますが、要はあらゆるハードウェアがインターネットにつながることを意味します。

ハードウェアがインターネットにつながるとどうなるのでしょうか。一言でいうなら、使用しているハードウェアが私たちにとって最適な動作をしてくれたり、行動を促してくれたりします。インターネットにつながることで、ハードウェアに搭載されているセンサーから情報がインターネット経由でクラウドサーバーへ届き、それがAIなどで分析されることで、手元の機器に情報がフィードバックされます。これにもとづいて、デバイスは私たちに役立つ情報を提供するるなど動作してくれるのです。

IoTを搭載したデバイスは、現在日本だけで約170億個あるといわれています。そして、この数はどんどん増え、2020年には約300億個に到達するという予測があります。これだけのデバイスが世の中に普及すると、クラウドサーバーへ集まるデータも膨大になります。いわゆるビッグデータというものです。このビッグデータを分析することで、思わぬアイデアやサービスが生まれることが期待されています。まさに、IoTは、社会を大きく変えるのではないかと予想されています。


進むIoT化

 

実際、世界では「第4次産業革命」に向けて各国が競い合っています。ドイツの「インダストリー4.0」をはじめ、アメリカ、イギリス、中国などが続き、日本も「Society5.0」を打ち出して第4次産業革命を起こそうとしています。この第4次産業革命で、各国で共通していることがあります。それが、IoTの活用がベースになっていることです。AIが情報を分析して、装置などを自律的に動かすには、IoTによるデータの収集が不可欠です。それだけに、IoTの開発は世界で大きなテーマになっているのです。

しかし、世界を大きく変えるかもしれないと期待されているIoTですが、課題もあります。それが、セキュリティの問題です。セキュリティと聞くと、みなさんはパソコンやスマートフォンなどを思い浮かべるかもしれません。しかし、IoTにもセキュリティ対策は必要です。なぜなら、IoTデバイスはインターネットにつながっており、セキュリティを破られると外部から容易にアクセスできるからです。実際、IoT製品に関連したセキュリティ被害が世界でも見られるようになってきました。

そこで、次の章では、実際にIoTデバイスにどのような被害があったか見ていきましょう。

IoT製品のセキュリティ被害事例

「IoTのセキュリティ被害なんて、まだ数少ないのでは?」

そんな想像をしている人も多いかもしれません。しかし、実際はあなたが考えている以上に、セキュリティ被害は拡大しています。ここでは、主に5つの例を取り上げて、ご紹介しましょう。

自動車

自動運転などで大きな注目を集める次世代自動車。自動車が今後自動運転を行う際は、インターネットに接続されます。インターネットを通じて、自動車の走行位置や部品の状態などをクラウドなどに集め、一方でクラウド側からは自動車に対して交通情報などを提供して、渋滞回避など自動的に行うようになります。このように、自動車もIoT化されるのです。

しかし、インターネットにつながるリスクも当然あります。それはハッキングされ、何者かに意図しない運転をされてしまうことです。悪意のある者であれば、運転者が意図しない走行を行なって、危害を加える可能性があります。運転者の危険はもちろん、周囲にいる自動車や歩行者に対しても危害が及ぶ可能性があります。

こんなのあくまでしばらく先の話と、楽観的に考えている方もいらっしゃるかもしれませんが、実は自動車のハッキングはすでに発生しているのです。2015年、あるハッカーがフィアット・クライスラーが製造・販売するジープ・チェロキーをハッキングすることに成功。結果としてフィアット・クライスラーは140万台をリコールして、車載ソフトウェアを更新することになりました。

このハッキングにより、ハッカー側は、走行中のエアコンやオーディオ、クラクションを自由に操作可能になり、高速道路走行中のエンジンを止める操作もできるようになりました。しかも、これらの操作はリモートで可能です。ただし、このハッキングが行えるのは、車両の時速が約8km/h以下の場合と限定的であるため、大きな事故につながることはありませんでした。車載に搭載されているコンピューターが、条件と異なる走行を行なっていると自動で操作をキャンセルするセーフガードが発生しているのも事故を防ぐのに役立ったといいます。

しかし、これはあくまで2015年時点の問題で、ハッカー側の技術が向上すると、これ以上の操作が可能になるかもしれません。


セキュリティ被害事例(自動車)

監視カメラ

今では手軽に自宅に設置できるようになった監視カメラ。インターネットを通じて、映し出されている映像を確認でき、利便性にも優れています。監視カメラも、Iot化が進んでいる製品の一つといえます。

しかし、このインターネットにつながるのが、セキュリティの穴を生んでいます。実は、この監視カメラを狙ったサイバー攻撃が世界的に発生しているのです。この攻撃は、大手企業が備えてつけている監視カメラだけでなく、個人が設置している監視カメラも標的となっています。

ハッキングされた監視カメラの一部は、「Insecam」というサイトで公開されます。「Insecam」では、ハッキングした監視カメラの映像を見ることができます。日本では、大手コンビニエンスストアの監視カメラがハッキングされ、その映像が「Insecam」で公開されました。

また、個人が防犯のために設置している監視カメラは、セキュリティが甘いため、ハッキングされる可能性がさらに高いです。女性の方は、安全のためにつけたはずの防犯カメラがアダとなり、逆にプライバシーが公開されてしまうという事態も考えられます。


セキュリティ被害事例(監視カメラ)

 

ドローン

かつて軍事利用されていたドローン。今では、量販店などで誰でも気軽に購入できるようになっています。ドローンを活用したイベントなども開催されており、今後さらに流行することが予想されます。

このドローンの操作は、リモコンから通信して行います。そういう意味では、ドローンもネットワークによって操作されるので、IoT化された製品といえます。

しかし、ドローンもネットワークにつながるがゆえに、セキュリティのリスクに晒されています。通信規格も堅牢な訳ではなく、ちょっとした専門知識とソフトウェアがあれば乗っ取ることが可能という指摘もあります 。また、セキュリティソフトメーカー・カスペルスキーの調査によれば、ドローンは最短11ミリ秒で乗っ取れるといいます。 

軍事で使われていたから安全という認識が広まっているかもしれませんが、軍事用のドローンはハッキングされないよう通信方式が堅牢なものになっています。しかし、一般用のドローンはそうではありません。

そんな中、ドローンをより安全に使えるよう、国ではドローンに適した通信規格を作ろうと検討されています。しかし、これが実現するのはまだ先で、当面はこのセキュリティリスクにさらされる可能性が高いです。


セキュリティ被害事例(ドローン)

スマートスピーカー

日本でも販売が開始されたAIスピーカー。2018年大注目のデバイスも、ネットワークにつながっているIoT製品です。ここまでの流れで、もうお分かりかと思いますが、スマートスピーカーもセキュリティの脅威にさらされています。

スマートスピーカーは、音を発するだけでなく、音を集音するマイクの機能も持ち合わせています。このため、もしハッキングされると、このマイクを通じてプライバシーが公開されてしまう可能性があります。

大きな事件にはなっていませんが、発売前のグーグルのスマートスピーカーが意図せず周囲の音を拾ってしまい、勝手にデータをサーバーへアップロードしたという報告があります。 もちろん、発売後の製品はこのバグが修正されているようですが、世の中に完璧なソリューションはありません。AIスピーカーも、便利さの裏側にリスクがあることを認識しておく必要があるでしょう。


セキュリティ被害事例(スマートスピーカー)

 

医療システム

私たちがお世話になる病院のシステムもIoT化が進み、より進化することが予想されます。しかし、ネットワークにつながるリスクは、他のソリューションと同様に存在します。

まだ、病院のシステムに対する大規模なハッキングは発生していないようです。しかし、病院がハッキングされるリスクについては、専門家からも声が上がっています。

一つは、データの流出です。病院のカルテの情報などは、機密性の高い個人情報です。しかし、ハッキングされることで、このデータが外部に流出するリスクがあります。もし流出した場合、患者さんにとっても悪影響が出てしまうかもしれません。当然、病院にも大きな責任がのしかかります。

そして、もう一つは、治療や手術を行う機器がハッキングされることです。これは、情報流出より恐ろしいかもしれません。一歩間違うと、患者さんの命にかかわってくるからです。もし、手術中に機器がハッキングされて、手術や治療、検査ができないなど発生すると、最悪の場合手遅れになってしまいます。

このように、病院のシステムがハッキングされることで、私たちにも大きな影響が出てくるかもしれません。


セキュリティ被害事例(医療システム)

 

次世代自動車、監視カメラ、ドローン、AIスピーカー、そして医療システム、 ネットワークにつながり、便利に使用できるデバイスは、セキュリティの脅威にさらされます。これにより、悪意のある者に意図しない操作をされ、大きな被害を受けることがあります。そして、利用するあなたは、このことを理解した上で、デバイスを扱う必要があります。
そこで、次の章では、IoTデバイスが実際にどのような攻撃を受けるのか見ていきましょう。

 

ネットワークがつながることで増す「セキュリティリスク」

IoTデバイスのリスクについて、理解していただいたところで、今度は実際にIoTデバイスがどのような攻撃を受けるか見ていきましょう。

IoTデバイスに対する攻撃は、以下の3種類が主に挙げられます。

 

パスワードを破られる

まず、IoTデバイスのパスワードが破られるケースです。これは、監視カメラなどでよく見られる現象です。
おそらく、多くの方は、監視カメラのパスワードを初期パスワードのまま使用するでしょう。実は、これがセキュリティに大きな穴を生んでいるのです。

ハッカーからすると、初期パスワードを突破するのは容易いことです。パスワードで使用されている数字やアルファベットは限られ、メーカーによって製品ごとに似たようなパスワードが設定されているためです。

このように、ハッカーたちは、さまざまな手段を講じて、パスワードロックを突破しようとします。

 

通信の脆弱性を突破される

また、通信のセキュリティが脆弱だと、悪意のあるハッカーによって乗っ取られる可能性があります。ドローンの乗っ取りなどは、まさにこれが原因となります。

民生用に開発されているドローンの場合、コストの面などでセキュリティが暗号化されるなど堅牢性に欠けます。これが、ハッキングされる要因となってしまうのです。

 

被害件数が急増する「DDoS攻撃」

また、近年急激に増えているのが、DDoS攻撃です。DDoS攻撃とは、特定のIoTデバイスに対して、大量のアクセスを加えることで、デバイスやネットワーク回線をダウンさせる攻撃です。単純な攻撃ですが、なかなか有効な防御法が見つからないのが実情です。
DDoS攻撃は、政府や国の重要インフラ、企業に対して行われることが多いです。私たちの見えないところで、世界中でサイバー戦争が繰り広げられていますが、その手段としてDDoS攻撃が利用されることがあります。

ただ、このDDoS攻撃ですが、個人の方も無視することはできません。念のため、こういったリスクもあると頭に入れておいた方が良いでしょう。

 

このように、IoTデバイスにはさまざまなセキュリティリスクがあります。IoTデバイスもまだまだ黎明期であることを考えると、今後新たなセキュリティリスクが顕在化するかもしれません。IoTデバイスを利用する際は、注意したいものです。

それでは、実際にどのような対策を行えばセキュリティリスクを避けることができるのでしょうか。次の章では、その対策について紹介します。

 

IoTセキュリティを強化するには

それでは、IoTセキュリティを強化するために、どのようなことに取り組めば良いのでしょうか。ここでは、主に5つの方法を紹介します。まず、手軽にできるところから、見ていきましょう。

ネットワークにつなげる必要のないものはつなげない

まず、一番簡単な方法としては、ネットワークにつなげる必要のないものは、つなげないことです。当たり前のようですが、セキュリティを考えた上で、この方法が一番有効です。

ネットワークにつなげなくても、特に支障がないものもあります。たとえば、監視カメラはネットワークにつなげなくても、動画はきちんと保存して、機能させることができます。わざわざネットワークにつないで、セキュリティの脅威にさらす必要はないかもしれません。

これから、さまざまな製品でIoT対応をうたうものが登場するでしょう。IoTがバズワードのようになっているため、そこに目をつけて製品を提供する企業が増えてくることが考えられます。しかし、このような製品を利用する前に、「本当にネットワークにつなげる必要があるのか?」ということを考えることをおすすめします。

監視カメラのように、ネットワークにつなげなくても、利用することができる製品もあります。なんでもかんでもネットワークにつなげようとせず、ご自身でその必要性を判断できるようになるのが理想的です。


ネットワークにつなげる必要のないものはつなげない

 

初期パスワードを変更する

とはいえ、どうしてもネットワークにつなげなければならないケースもあるでしょう。そのときは、少なくとも初期パスワードは変更されることをおすすめします。

初期パスワードは、私たちが想像している以上に簡単にハッキングされます。先ほども紹介したとおり、メーカーが設定している初期パスワードにはある程度のパターンがあり、ハッカーからするとターゲットにしやすいです。

パスワードを変更する際は、できる限り桁数を長く、かつ特殊記号などを使用して、セキュリティを高めましょう。セキュリティソフトウェアメーカー・トレンドマイクロは、以下のような基準を提示しています。

1:パスワードに記号を入れる
2:パスワードの長さは、8文字以上にする
3:覚えやすいものにする 

 

この3つを兼ね備えるのは、なかなか難しいですが、セキュリティを確保するためにも考えておきたいところです。特に、3は重要な要素です。いざパスワードを解除しようとしても、できないとなってしまっては元も子もありません。ただ、間違っても誕生日などの数字の羅列だけは避けてください。

ちなみに、同じくトレンドマイクロの調査によれば、パスワードを破るまでの時間は、特殊文字を入れるかどうか、そして桁数で大きく変わるそうです。たとえば、4桁のパスワードの場合、特殊記号がないものは、わずか12分で破られるのに対して、特殊記号を含めた場合は、1時間ほどかかります。これが、倍の8桁になると、その違いはさらに歴然となります。特殊記号がない場合は、346年なのに対し、特殊記号が含まれると9664年(!)かかります。特殊文字の有無、そして桁数の違いでも、パスワードの堅牢性はこれだけ変わるそうです。 

このパスワードの話は、IoT機器だけでなく、普段使っているパソコンやスマートフォンにも当てはまる内容です。どちらも、ネットワークにつながっているという意味では、IoT化されています。なので、パスワードは、ネットワークにつながるあらゆるモノについて、しっかり検討するようにしましょう。


IoT機器の初期パスワードを変更する

 

ゲートウェイの設定を強化する

みなさんが自宅でインターネットを使っている場合、ルーターが設置されているかもしれません。そのルーター(ゲートウェイ)の設定を変更することで、セキュリティを強化することもできます。
ゲートウェイの設定によって、LANへのアクセスを制限することができます。これにより、不正なアクセスを防ぎ、IoT製品のハッキングを防止することが可能です。
総務省が発行している「IoTセキュリティ総合対策」の7ページでも、セキュリティ強化を行う上で、ゲートウェイのセキュリティ強化を挙げています。 この資料自体は企業向けのものですが、個人のユーザーにも当てはまることです。ぜひ見直してみましょう。

セキュリティソリューションの導入

パソコンやスマートフォンに対してセキュリティソフトをインストールしている方は多いかと思いますが、実はIoT製品にもセキュリティソリューションがあります。

それが、トレンドマイクロが発売している「ウイルスバスター for Home Netowork Bitdefender BOX」です。

ウイルスバスター for Home Networkのレビュー

ルーターにLANケーブルを接続するだけで使えるアプライアンス型の家庭用セキュリティ製品、ウイルスバスター for Home Networkの実機レビュー。

 

家庭用にも増えるIoTデバイスに対応できるように、セキュリティソフトウェアメーカーの大手がサービスの提供を行なっております。

製品の特徴は、セキュリティソフトをインストールできないネットワーク接続機器の乗っ取りや遠隔操作を防ぐことができることにあります。従来のセキュリティソフトでは、アプリケーションをパソコンなどにインストールする必要がありましたが、このトレンドマイクロ ウイルスバスター for Home Netowork Bitdefender BOXはインストール不要で使用することができます。

これにより、第三者によるネットワークの不正侵入や機器の乗っ取りによって発生する情報漏えいを防ぐことができます。また、これ以外にもセキュリティ対策を忘れていたために発生していた詐欺サイトでのショッピングや子どもの有害サイトへのアクセスを制限することが可能です。

また、他のセキュリティソフトメーカーも今後IoTに対応したセキュリティソフトを次々と投入することが予想されます。先ほど挙げた対策と併せて、使用を検討してみてはいかがでしょうか。

 

Telnet のポートを塞ぐ

Telnet というのは、リモートからデバイスをコントロールするための仕組みです。30年以上も前に考案されたプロトコルで、セキュリティ対策はされておらず、通信は平文でやり取りします。

このTelnet が、実はIoTセキュリティの脅威の原因になっているそうです。多くのIoT機器は、組み込み型Linux で動いており、Telnet が利用できるとは言われていません。しかし、実際には、Telnet が利用できるのが現状になっています。

Telnet では、簡単なIDとパスワードで管理者権限としてログインすることができます。これにより、機器を簡単に操作できるため、リモートで操作が可能となります。多くの人にとって、ほとんど馴染みのないTelnetがこのような影響を及ぼしているとは考えもしないことでしょう。

このTelnet からの攻撃を防ぐには、Telnet のポートをふさぐしかありません。しかし、これができるIoTデバイスは限られているのが現状です。

 

企業は「セキュリティ・バイ・デザイン」を実践する

また、企業では、「セキュリティ・バイ・デザイン」を実践するようIPAから提唱されています。

セキュリティ・バイ・デザインとは、情報セキュリティを企画・設計段階から確保して、製品やシステムを設計する考え方です。まだまだ歴史が浅く、開発プロセスも定まっていませんが、IoT社会が到来することを考えると今後必要不可欠な考え方になるでしょう。

安全を確保する上で、セキュリティともう一つ大事な考え方があります。それが、「セーフティ」という考え方です。セーフティとは、人命や財産などを守ることで、IoTデバイスには、このアイデアも求められます。先ほど挙げた自動車や医療システムは、セキュリティだけでなく、ハッキングされた際に想定されるリスクに対するセーフティも念頭に置いておく必要があります。

このセキュリティ・バイ・デザインの考え方を知っておくと、企業だけでなく、個人にも恩恵があるかもしれません。今後、企業がセキュリティ・バイ・デザインを売りにした製品を発売した際、メリットを理解しているため、いち早く取り入れることができます。これにより、セキュリティだけでなく、セーフティ対策も行うことが可能です。
まだまだ新しい考え方ですが、覚えておいて損はないでしょう。

 

IoTのセキュリティ対策に終わりはない

ここまで、IoTセキュリティの被害事例、リスクとその対策についてお伝えしました。

日本のみならず、世界中でIoTの活用が進み、近い将来IoTという言葉が今のようなバズワードではなく、当たり前の存在として認知されていくことでしょう。

一方で、セキュリティ対策については、これが全て解決という方法はなかなか見えないでしょう。セキュリティの大きな課題は、守る側より攻める側の方が優位に立ちやすいという問題です。どうしても、問題が発生してから守る側がセキュリティ対策を行うというように、後手に回ってしまうことがほとんどです。

もちろん、AIを用いた異常検知によって、セキュリティの脅威を防ぐという方法も今後普及が進むでしょう。IoTのセキュリティ対策でも、このAIの活用がキーポイントになるかもしれません。

ただ、一番大きなポイントになるのは、利用する人々のセキュリティに対する意識が高まるかどうかです。初期パスワードを変えるだけでも、セキュリティはグッと高まります。歯を磨く、ご飯を食べるのと同じくらいパスワードに対する意識が上がるだけで、IoTセキュリティの脅威は低くなるのではないでしょうか。

また、パソコンやスマートフォンと同様に、個人がIoTデバイスを今まで以上に使用するようになれば、それに対するセキュリティソフトも必要になります。AIスピーカー、IoT対応したお掃除ロボットなど、これらをセキュリティの脅威から守るためにも、セキュリティソフトでしっかり守ることをおすすめします。

来るべきIoT社会に向けて、少しでもセキュリティの意識を高めておきましょう。