ホワイトペーパー「2013年のトレンド――モバイルマルウェアの驚異的成長」の中で、ESETのグローバル・リサーチ・ラボ（Global Research Laboratories）は2012年の調査・研究、レポート、発見に基づきスマートデバイスが直面する脅威について指摘した。2016年の現在、技術の発展がこれらのデバイスの限界を押し上げ、その能力を拡大してきた。インターネットに接続でき容易なアクセスを提供するデバイスが増加しており、結果的にそれらのデバイスに対する攻撃数も増加している。このことは、世界中の何百万人ものユーザーに影響する不正プログラムの拡散という形で、明らかになった。そのような攻撃の中でも最も重要なものの一つとして、世界中のルーターに感染するワーム「ムース」（Moose）がある。

ガートナー（Gartner）社の報告書によると、現在、49億のデバイスがインターネットに接続されており、その数は今後増加し続け、2020年までに最大250億のデバイスがインターネットに接続されるようになる。簡単に言うと、IoTが普及し、ユーザー間でデータを生成・保存・交換するデバイスの数は今後、ユーザーの利便性の向上と彼らの実施するタスクの多くを簡略化する目的で、数年のうちに増加し続けるだろう(下の表を参照)。

下記の予測によると、ガートナー社は今後5年間で「消費者部門（ウェアラブルデバイスなど）のデバイス」が最も成長すると予想している。新たなウェアラブルデバイスの台頭、もしくは新たな家庭用電化製品によるかもしれないが、どちらにせよ、セキュリティのインシデントが潜在的にあり、そうした被害からそれらのデバイスは守られる必要がある。

しかし、IoTは消費者のためだけのものではない。企業や政府も人々の生活の向上、そして自らの評判・評価のためにこの業界に投資をし、関係してきている。この流れは「インダストリー4.0」として知られている。一部の人々はこれをドイツ連邦教育研究省が命名したように「産業革命の第4段階」と見なすこともある。

ガートナー社のプレスリリース「Gartner Says 4.9 Billion Connected "Things" Will Be in Use in 2015」より

*1 編集部注 「垂直型ビジネス」とは、特定のニーズに特化したニッチ市場を前提としたビジネスのこと。

このプロセスは、スマート製品をさらに発展させて、それらの操作や交信、ネットワークをスマート化するものである。端的に表現すると、現在の産業がスマート産業へと変貌を遂げるには、主にIoTとサービスがその根幹に必要不可欠であることを意味している。関係する最重要産業領域には、エネルギー、自動車に代わる持続可能な移動媒体、そして医薬などがある。

ただしインダストリー4.0に関して、幾つかの障壁が存在しており、そのために多くの企業はいまだ関与に消極的である。下記のグラフから分かる通り、「データ保護とセキュリティ」は、この新産業革命の中で変化を促し、商品・サービスが新たなデバイスを受け入れていくのを奨励するために、取り組まれなければならない最大の障壁の一つとなっている。

新技術が出てくるたびに、その動作原理について理解し、場合によっては、そのセキュリティ面の問題を発見するべく、研究者はテストを実施する。2015年にさかのぼって振り返ると、赤ちゃんのモニター装置からインターネットによって遠隔制御される車に至るまで、IoT機器の脆弱性についてさまざまなレポートが提供されてきた。消費者と企業の双方共に関連するものであり、そして、IoT社会を実現するためにアクションをとっていく必要がある。これらの機器のセキュリティを担保することは、情報セキュリティを提供する側にとって今後、最大の課題の一つとなるであろう。

ウェアラブル

2015年に発表されたレポートの多くはウェアラブルの脆弱性について報告しており、その中で攻撃者が装置自体から情報を盗むことができるシナリオを紹介している。利用された攻撃ベクトル(*2)の中でも、アプリケーションがBluetoothなどの通信技術や6桁PINコードを利用する際に、不具合が見つかった。

*2 編集部注 コンピューターまたはシステムへの侵入に使用される方法または経路のこと。

すでにBluetooth SmartはIoT業界において受け入れられている。そのため、そのセキュリティはデバイスの相互接続を考える際の主要因となってい2る。スマートウォッチから身体活動中の感覚データを測定する手首装着型の機器に至るまで、この技術は、スマートフォンなどの他のデバイスと接続するのに用いられる。プロトコルにセキュリティの不具合があると、攻撃者は、交換されている情報をプレーンテキストで読めてしまう可能性もある。

IDCのプレスリリース「IDC Studie: Industrie 4.0 durchdringt verarbeitendes Gewerbe in Deutschland, Investitionen für 2015 geplant」より

特にApple Watchの市場投入以来、これらの事件の一部は、ユーザーの注意を集めている。この点についてより具体的には、攻撃を受ける前にセキュリティPINを設定していたか否かにかかわらず、サイバー犯罪者はApple Watchをリセットして、別のiPhoneに再接続できてしまいかねないソフトウェアの不具合が観測されている。

住宅内ネットワーク

IoTの発展は、より多くの装置を一家庭のネットワークを介して相互接続可能とする。こうすることで、ユーザーは自身のスマートフォンとコンピューターを用いて、ネットワークに接続されている家庭電化製品を管理し、通信することができる。また、これらを通じて機器の利便性を改善する。また、より高次元での相互接続を実現するためには、データの機密性を維持し、通信プロトコルを保護し、そしてアプリケーションとOSのアップデートの完全性を保証する必要があり、セキュリティのさらなる改善について考慮していく必要がある。

2014年9月にシアトルで開催された「ウイルス・ブリテン」（Virus Bulletin）誌（代表的な第三者テスト機関の一つ）の会議では、HP社のヨン・ウォク・オー（Jeong Wook Oh）氏が家庭で利用されている各種機器と、それらに対する攻撃の実現可能性についての包括的な研究について、その成果を発表した。今日では、テレビ、サーモスタット(温度自動調節器)、IPカメラ、その他のインターネット接続可能な家庭内機器が存在しているが、セキュリティの不具合が生じた際には、家族の個人情報またはシステムは外部にさらけ出されてしまうことも考えられる。

この研究はさまざまな家庭電化製品も取り上げているが、過去数年に報告された内容に基づくと、IoTにおけるこの傾向を読み取ることができる。

この流れに沿って、いろいろなメーカー製のスマートテレビが研究者により調査され、ネットワークに不法に侵入する「ブラックハット」と呼ばれるクラッカーたちのイベントにてその成果が共有された。また、その研究者たちは、この種の機器におけるセキュリティの不具合について報告書をいまだに準備し続けている。最近のレポートでは、サイバー犯罪者が冷蔵庫をゲートウェイとして利用して、Google証明書を盗み出してしまう手法について紹介している。さらに、赤ちゃんの挙動監視モニターは遠隔制御されて音楽を演奏したり、それが接続されているネットワークにアクセスされたりしてしまう状況にある。

技術の急速な進化から見れば、より多くのセキュリティ不具合はそのようなIoT機器で発見されると考えられる。その場合には、家庭内ネットワークへのそれらの機器の利用・実装はあまり良い選択ではないように思えるが、そうではなく、その予想される結果を認識し、精通しておくことが重要である。

5～10年前と比較すると、今日では本当に多くの機器が家庭内ネットワークに接続している。したがって、情報セキュリティへと貢献する全ての企業は、結果として生じる課題について理解しなければならない。特にユーザーに対して、家庭用ネットワークを保護するための手段をいかに簡単かつ効果的に見つけるかの援助が鍵となる。彼らの機器がよりスマートになっていくにつれ、機器の所有者は機器のマニュアルと信頼に足るアドバイザーからの助言に従い、セキュリティをチェックしていく必要があるからだ。

全てのモノの相互接続

将来的には、IoTのセキュリティ課題は家庭に限定されるわけではない。技術は発展を続け、政府、産業、市場のどれもが、全ての機器、システム、そしてサービスの相互接続の実現を目指して進んでいくことだろう。市場調査から交通システムまで、全てのものは既存技術を通じて相互接続されていくと考えられるが、セキュリティ・プロトコルが適切に実装されないままになるケースも存在するだろう。

ESETのラテンアメリカ研究所が発行した「2015年のトレンド―― 標的は企業」という報告書では、IoTの目標の一つが、技術と相互作用することによって情報とサービスを提供することができる自治の環境を生み出すことであると、述べられている。この目的を達成するために、さまざまな企業が自社の機器のセキュリティ、プライバシー、そしてユーザービリティを顧客に提供する手段として、セキュリティ専門家向け報酬プログラムの提供を開始した。このプログラムでは、セキュリティ専門家らが報酬を目当てにセキュリティの不具合を報告してくれる。

IoTへの挑戦は、2015年以降の時代の主要な議題であり続けている。結果として、さまざまな発表にある通り、ユーザーのライフスタイルを改善する目的で、各企業は、IoTを産業、都市、そして異なる地域に融和させるための標準化とルールづくりに取り組んでいる。この幾つかの例として、ドイツ政府により提案されている投資と上述したインダストリー4.0イニシアチブ、そして欧州ネットワーク情報セキュリティ庁によって進められている台頭するスマート重要インフラに関する最善のやり方（ベストプラクティス）の発展支援に向けた連携などがある。

確認をしてから接続をせよ

このように2016年は、新しい装置がインターネットに接続するようになる、もしくは別の種類の相互通信を実現するようになったため、セキュリティへの新たな挑戦の年となった。例えば、遠隔制御される自動車、ドローンのセキュリティ不具合、もしくはユーザーの家庭用ネットワークを保護する手法などが、課題となる。ネットワークに接続されている機器は、それが保護されていて、ユーザー、企業、そして政府機関の将来のプライバシーとセキュリティ、そして機密性を確保できるよう適切に構成されていることをチェックされなければならない。

ユーザーと企業ではそれらの機器の情報をどのように守るかについて差が存在する。ネットワークの保護が致命的な要因となってしまうケースなどもあるため、セキュリティ・ソリューションが実装できないこともある。家庭用ネットワークの場合、インターネット接続を提供するルーターを考えることが最も重要なことの一つである。ルーターはしばしば放置され、更新されず、そのデフォルト・パスワードさえ変更されないままである。

もしも24時間年中無休でインターネット接続を提供している機器が安全でなければ、そのネットワークのセキュリティは侵されかねない。一つの良い例として、「ムース」（Linux/Moose）に関するESETの研究所の報告があるが、その報告ではセキュリティを侵されたネットワークがそのふるまいを変えていくことが観測されている。

同時に、新しいネットワーク機器のシステムへの接続については、システムやネットワークの管理者によって慎重に判断される必要がある。これは、場合によってはそれらの機器が、正当な権限を持たない第三者の入り口となり、セキュリティインシデントを生じたりセキュリティの抜け穴をつくったりしてしまうためである。

これまで、セキュリティに関する現状において、世界中で最もインパクトの高いインシデントについてESETは議論し、意見を述べてきた。そのインシデントは、標的型攻撃から不正コードによる広範囲の感染にまでわたる。2015年から2016年に報告されたインシデントと(通常攻撃者によって利用される)セキュリティ不具合を鑑みると、新たなスマートデバイスが企業ネットワークに接続される際には、セキュリティがますます重要な役割を果たすというのが、結論ということになるだろう。会社環境に接続しているあらゆる機器に安全性を提供することは、現在のセキュリティ機器にとって最も困難な課題となっている。そして、情報セキュリティを企業運営上の重要な要素と捉えている企業にとって、IoTの役割は、近い将来ますます重要になっていくであろう。