SPECIAL CONTENTS

特集 | ビジネスやITの最新動向/技術についてセキュリティ観点からレポート

IoT時代に問われるセキュリティ、今自分にできることは?

この記事をシェア

IoT(Internet of Things:モノのインターネット)とは、パソコンや電気製品だけでなく、ペンやノート、衣類、日用品など、ありとあらゆる「モノ」がインターネットにつながる状態を意味するキーワードだ。昨今、監視カメラのネットワークがインターネットに接続されたり、自動販売機、家電製品がインターネットに接続されたりと、パソコンやスマートフォン以外のセンサーや機器が、インターネットへ次々接続できるようになってきた。これは序章に過ぎず、クラウド、ビッグデータ、ウェアラブルデバイスといったトレンドと相まって、接続対象となる機器やデバイスが急速に広まっている。

そもそもIoTとは?

IoT(Internet of Things:モノのインターネット)が意味する「モノ(Things)」とは、世の中に存在するあらゆる物体という意味を含んでいる。これまでインターネットに繋がっていたのは、サーバーやパソコン、スマートフォンやタブレットなど、コンピューターや情報端末だったが、これが「ありとあらゆるデバイス」になると理解すればいいだろう。これまで予想もしなかった「モノ」にセンサーが搭載され、インターネットへつながる世界が目の前まできている。

ある調査によると、2014年の国内IoT市場におけるIoTデバイスの普及台数は5億5700万台。これが、2019年には9億5600万台にも達するという。

【 国内のIoTデバイスの普及予測 】

  2014年 2019年 増減率(2014年比)
IoTデバイスの個数 5億5700万台 9億5600万台 71.6%増
IoT市場規模 9兆3645億円 16兆4221億円 75.4%増

出典:IDC Japan 資料をもとにマルウェア情報局作成

ひとつの例として、カーナビの進化を見てみよう。従来は車に据え付けられ、単独で動作していたカーナビ。それがインターネットとつながることで、地図情報の更新が簡単になり、ナビゲーション機能とWebサービスの連携も可能となった。

進化はそれだけにとどまらない。インターネット経由で自宅の部屋に設置したカメラにアクセスし、外出先の車中から留守時のペットの様子を確認することや、防犯カメラの映像をチェックできる製品も登場している。カーナビとカメラという一見関係ない機器がインターネットでつながり、あらたな可能性を生み出した。

自動車そのものをインターネットに接続しようという試みもはじまっている。近年の自動車は制御用のコンピューターを搭載している。これをインターネット経由で各種クラウドサービスと接続するわけだ。

駐車場の空車情報を検索し、駐車場までのルートガイドと組み合わせて駐車を自動化するといったことや、人が運転するのではなく、クラウド上の地図情報を利用した「自律走行」の研究も進められている。車の周辺を見ただけでも、あらゆる「モノ」がインターネットにつながり、新たなイノベーションに向けて研究が進められていることがわかる。

従来インターネットへ接続されることのなかった制御機器や業務機器もインターネットを活用し始めた。小売事業者が利用するPOSや金融機関のATMもその例で、従来の専用線に代わって、インターネットを利用するものが増えている。

金融系のシステムは、以前なら専用線やクローズドなネットワークを利用するのが一般的だったが、コストの問題や柔軟かつ高度なサービスを提供するために、インターネット回線へシフト。スマートフォンやタブレット端末のイヤフォンジャックに専用リーダーを接続するだけで、カード決済やPOS端末として利用できるサービスも登場した。

身の回りにもその波が押し寄せている。ウェアラブル端末だ。iPhoneと連携を売り物にした「Apple Wath」をはじめとするリストバンド型端末や、メガネ型の「Google Glass」はご存じだろう。それらを発展させたスポーツウェアやシューズなども今後登場することが予測されている。値札などに応用されている「RFID」といったチップを利用すれば、IoT化できる品物や製品はもっと増えてくるかもしれない。

インターネットとセキュリティはもはや不可分

様々な「モノ」がインターネットにつながることで、我々の生活は便利になり、新しいサービスやビジネスも生まれる。しかしその一方で、インターネットを利用するうえで避けて通れない問題がセキュリティである。インターネットにおいて利便性とセキュリティ上のリスクや脅威は、表裏一体の関係にある。ESETの研究者もIoTはさらに拡大し、これらがサイバー犯罪の標的になると2015年の展望を語っている。

インターネットに接続されているとなれば、世界中からアクセスが可能だ。IoTでも、パソコンやスマートフォンと同様にセキュリティ対策が欠かせない。その対策を考える上で、まずは当然ながら、想定されるリスクを明確化する必要がある。IoTに関連したリスクは、情報漏洩や不正アクセスなどのほか、プライバシーの問題もある。この点は、一般的な情報セキュリティと同じだ。

先にも挙げた自動車を例に考えると、「不正アクセス」を受けて侵入された場合、コンピューター制御されているシステムが乗っ取られる可能性がある。ブレーキが突如、効かなくなったり、ハンドルが勝手に操作されたりしまうといったことも起こりえるだろう。

一方、スマートホームなど自宅の空調や照明がインターネット経由で制御可能になれば、攻撃者に遠隔操作されてしまうかもしれない。インターホンやペットの見守りカメラ、Webカメラの映像をスマートフォンで見られるようなサービスを利用している場合、そのサーバーやアカウントが奪われたら、子どもの位置、自宅の様子が第三者に筒抜けとなる。

以上のような、自動車やスマートホームに対するハッキングは、決して未来の話ではない。すでに、多くのセキュリティカンファレンスなどで実際の攻撃デモが公開されている。以下のリンクの通り、ESETのWe Live Securityでもこうした話題をたびたび取り上げている。

これらの攻撃は、自動車や家電の正常な動作を阻害し、場合によっては犯罪やテロなどの破壊行為にもつながるものだ。例えば、インターネットに接続されたカメラのハッキングは、脅迫や別の犯罪で利用される危険性が高い。大規模なテロなどは、いまのところ確認されていないが、今後警戒する必要があるだろう。

すでに金銭を目的としたIoTに対する攻撃も発生している。POSやATMを標的としたマルウェアが発見されており、大量のクレジットカードが漏洩する事件も発生している。金銭など実利のあるものは現実の問題となっている。

IoT時代、あらゆるモノがサイバー攻撃の新たな標的に

さて、自動車のアクセルを踏んでもいないのに、遠隔操作によって走り出してしまうようなことが起これば、世間に与えるインパクトは大きい。人命に直接関係するため、実際にセキュリティカンファレンスで実施された同様のデモは、IoTセキュリティの視点でも大きく取り上げられた。とはいえ、まだ車のIoTは実用段階になく、この攻撃を実現させるには、攻撃者が標的の車載コンピューターへ直接攻撃をしかける必要がある。自動車やスマートホームへの攻撃が、現実の問題になるのはもう少し先のことだろう。

では、なぜIoTセキュリティが騒がれているのだろうか。大きな被害は起きていないのはあくまで「いまのところ」であり、予想されている攻撃はいずれ「現実のもの」となると考えられるからだ。

IoTが実現した世界では、従来のPCやスマートフォンよりはるかに、人々の生活に密着した「モノ」が標的となるだろう。そのため、セキュリティの面で危険だとわかっていても、利用を制限したり回避したりすることが困難になるおそれもある。

たとえば、設置が増えているコンビニや街頭の監視カメラ。もしハッキングされ、映像が第三者に漏洩しているとしても、単なる通行人に過ぎない人々は、どれがハッキングされたカメラなのか知り得る手段はない。かといって至るところに設置されている監視カメラを避けて生活を送ることも困難だ。そうして流出した映像が、ストーカー行為や窃盗などへ悪用されてしまうかもしれない。

自動車、POS、ATM、コンビニのキオスク端末、家電製品、衣類、生活必需品も同様だ。利用者側で取れる対策に限りがあるため、機器・システム・インフラに予防措置や対策機能を組み込む必要がある。様々なモノがインターネットにつながる時代は、もはやIoTデバイスだけではなく、様々なモノやシステムが、サイバー攻撃の新たな標的となってしまうのだ。

サイバー攻撃の新たな標的

対策は忘れがちなもっと身近なIoT機器から始めよう

今後、IoTが普及、浸透してくるとパソコンやスマートフォンだけではなく、様々なモノやサービスにおいて、セキュリティ対策を今以上に意識する必要がある。まず目を向けるべき問題は、既存の機器のセキュリティだ。

じつはIoTが話題になる以前から、サーバーやパソコン以外の情報機器、通信機器に対する攻撃が発生しており、実際に被害も出ている。ネットワークプリンターや複合機、ルーター、NAS、IP-PBX、デジタルサイネージを狙った攻撃は何年も前から確認されており、実際の被害も発生しているのだ。またPOSやATMが攻撃対象となっているのは先ほど述べたとおりだ。

これらは専用機器であり一般的なコンピューターと見た目はかなり違うが、中身はLinuxやWindowsを搭載した汎用コンピューターであることがほとんど。ルーターやNASなどをデフォルト設定のままで使っていると、インターネットからこれらの機器に接続できることもある。また、古い製品は、内蔵されたOSやアプリのアップデートが用意されていないことも多く、脆弱性を突かれてしまう。

ルーターや複合機は、マルウェアに汚染され、ボット化したり、別の攻撃の踏み台にされる場合もある。重要な文書を扱うプリンターや複合機などは、機密文書の漏洩につながる可能性も否定できない。

実際に複合機のセキュリティ管理が甘く、内部のデータが流出してしまった事故もある。企業においてIP電話の交換機として利用が進む「IP-PBX」が不正アクセスを受け、多大な通話料が請求されるといった問題も発生している。また盗聴といったリスクもあるだろう。

IoT時代のセキュリティ対策は、まず身近な機器の再チェックから始めたい。

この記事をシェア

業務PCのセキュリティ対策に

マルウェア情報局の
最新情報をチェック!