IoT機器はオフィスや家庭だけでなく、農業や医療、工場などさまざまな場面で活用されるようになっている。そしてその裏では、IoT機器を狙うサイバー攻撃も発生しており、過去に大きな被害を招いた事例もあった。この記事では、IoT機器に脆弱性が生じやすい理由やその対処方法について解説する。
さまざまな分野で活用が進むIoT機器
IoTとは、「Internet of Things」の略で、日本語ではモノのインターネットと訳される。いわゆる、インターネットに接続することを前提としたモノを活用する概念をIoTと呼ぶ。
ただし、従来から存在するパソコンやスマートフォン(以下、スマホ)、サーバーなどはIoT機器には該当しない。一方で、直接インターネットに接続するのではなく、ルーターなどを介してインターネットに接続するセンサーデバイスもIoT機器とされる。また、ルーター自体もIoT機器に含まれるという解釈が一般的だ。そのほか、IoT機器と呼ばれる代表的な製品としては、電子タグやビーコン、センサー、ネットワークカメラなどが挙げられるだろう。
IoT機器はオフィスをはじめ、農業や医療・介護、建設などさまざまな分野でその活用が進んでいる。IoT機器の利用は、インターネットとモノを繋いでの新規サービスの開発、ビーコンやセンサー、カメラなどを用いての業務効率化や改善、働き方改革の推進という観点からも注目が集まっている。
IoT機器に脆弱性が生じる理由
IoT機器は形状がパソコンやスマホなどと異なるものの、小さくともコンピューターが搭載されている。さらに、インターネットに接続して使われるという特性もあり、動作しているだけでサイバー攻撃の対象となり得るのだ。
オフィスで利用されるパソコンやサーバーについては、昨今のセキュリティ意識の高まりもあり、セキュリティソフトの導入をはじめサイバー攻撃対策が講じられている。片やIoT機器は、先述のようにコンピューターとして認識されづらい特性もあるのか、基本的な対策すら講じられていないものも一定数存在する。機器へのアクセスに必要なユーザーIDやパスワードなども初期状態のまま放置されていることも少なくない。
そのような背景から、既知の脆弱性が放置されているケースも散見される。機器がマルウェアに感染しているにも関わらず放置され続け、知らぬ間に他者への攻撃の踏み台にされていたという事例も相次いでいる。特に、近年幅広く使われている組み込み型のTCP/IPスタックに脆弱性が見つかることが増えており、その対象となるIoT機器は数億台にも上っているとされる。
IoT機器を対象としたサイバー攻撃の実例
IoT機器の増加に伴って、IoT機器を狙うサイバー攻撃が大きなリスクとなっている。IoT機器を対象としたサイバー攻撃の代表的な例として、2016年に発見されたマルウェア「Mirai」によるDDoS攻撃が挙げられる。2016年9月20日に、Krebs on Securityが最大620Gbpsを超える大規模なDDoS攻撃を受けた。このDDoS攻撃は、Miraiに感染したIoT機器によって構築されたボットネットで行われたものだ。
さらに、2016年10月21日にはDNSサービスを提供するDyn(ダイン)が大規模なDDoS攻撃を受け、同社の顧客であるTwitter、Netflix、PayPal、PSN(PlayStation Network)などのWebサービスが一時停止するなどの影響を受けた。2016年9月末にMiraiのソースコードが公開されたことで、Miraiの亜種も生まれており、今なおそのリスクは残り続けている。
スマートファクトリー化で工場も狙われている
IoT機器を狙うサイバー攻撃は、オフィスや家庭で使われている機器以外にも狙いを定めている。効率化を追求し、次世代型の工場とも呼ばれるスマートファクトリーを狙う動きがある。従来から工場では、FA(ファクトリーオートメーション)化の流れで、産業用ロボットや自動組立機などが用いられてきた。しかし、これらの機器は工場内で完結して動作するように設計されており、インターネットで外部に接続する必要性はなかった。もちろん、機器同士の連携はあるが、あくまで工場内でネットワークを構成するというM2M(Machine To Machine)にほぼ限定されていたのだ。
しかし、スマートファクトリー化の実現には、インターネットに接続するIoT機器の活用が欠かせない。ここで問題となるのが、現場の運用ポリシーである。工場の設備がアップデートされても、その運用は旧態依然とした、工場内で完結する当時のルールを引きずっている。そのため、最新ファームウェアへの定期的なアップデートなど、IoT機器では必須となるセキュリティ対策が十分に講じられていないことがあるのだ。
また、制御システムのオープン化がトレンドとなったことも、サイバー攻撃のリスクを助長している。工場という存在は、製造業にとってビジネスの中核的な存在であるため、攻撃を受けたときのダメージも大きく、攻撃者にとって格好のターゲットともいえる。実際、2005年に米国の自動車工場13拠点がワームに感染し、1時間近くオフライン化して操業ができなくなった事例では1,400万ドルにも及ぶ被害が生じた。ほかにも、工場にとどまらず、発電所や浄水場などの重要インフラを狙ったサイバー攻撃も発生している。こちらも当然のことながら、万一支障が生じると大きな損害となり得る。
IoT機器をサイバー攻撃から守るには
サイバー攻撃への対策を講じずにIoT機器を無防備で使うことは、コンプライアンス的な観点のみならず、企業のブランド毀損を防ぐためにも避けねばならない状況へと変わりつつある。IoT機器をサイバー攻撃から守るには、次の5つのポイントが重要だ。
ユーザーIDやパスワードをデフォルトから変更
ルーターなどの機器のユーザーIDやパスワードは、デフォルト(出荷時設定)では「User」や「admin」といった既定のものが与えられていることが多い。初期設定されているパスワードは推測されやすいため、必ず変更しておきたい。その際は、できるだけ強度の高い(破られにくい)、ユーザーIDとパスワードを設定しておいてほしい。攻撃者は利用頻度の高いユーザーIDとパスワードをリストとして保有しており、そのリストをもとにブルートフォース攻撃などを仕掛けて不正アクセスを試みるからだ。
ファームウェアを最新のものにアップデート
IoT機器ではファームウェアに脆弱性を抱えるケースが少なくない。近年ではベンダーも脆弱性への対処を重視し、脆弱性が発覚次第、速やかにパッチを配布するようになってきている。ベンダーが提供を開始した修正パッチは速やかに適用しておきたい。
使わなくなった古いIoT機器は電源をOFFに
使わなくなった古いIoT機器からマルウェアが侵入し、順次感染を広げていったという事例もある。このような古いIoT機器については、可能であればLANケーブルを外すなどして物理的にネットワークから切り離すこと。物理的に切り離せない場合は、電源コードや電池などを抜いてネットワークに接続しないようにすることで安全性は高まる。
IoT機器がセキュリティホールとなっていないかを確認
SHODANやCensysなど、デバイスの検索エンジンを用いることで、自社のIoT機器を検索できる。検索結果の画面上には開放されているポート情報をはじめとしたセキュリティ的な脆弱性なども表示されるため、セキュリティ対策の手はじめに調査するのもいいだろう。
脆弱性診断/ペネトレーションテストの利用
ツールなどを使ってシステムの脆弱性を診断する脆弱性診断や、実際に想定される攻撃シナリオに沿って攻撃者と同様の手口で侵入や改ざんなどの攻撃を実施することで、被害レベルを調査するペネトレーションテストの利用も有効だ。これらの結果を元に対策を再検討することによって、オフィスや工場などの重要拠点がサイバー攻撃の被害に遭遇するリスクを低減できるだろう。
IoT機器を狙うサイバー攻撃から企業を守るためには、まずIoT機器の特性を理解することが重要だ。管理者はもちろんのこと、実際にこうした機器を活用するユーザーとしても、その特性を把握しておくことにより、サイバー攻撃に対して脆弱な状態で利用することがないよう徹底してほしい。
