IoTのセキュリティ脅威・事故事例|いま実施すべき対策は?

security_1064

モノのインターネット「IoT」。最近はパソコンやスマホ以外にも、さまざまな製品がインターネット接続され、より機能が拡張されて利便性が高まっています。

しかし、その反面でインターネット接続をするということは、サイバー攻撃を受けるリスクが生じるということ。よって、セキュリティ面での対策が必須になります。

目次

1. IoTの市場規模と課題とは?

年々、市場規模が拡大しているといわれるIoT。では、現在の規模や将来の予想はどのようになっているのでしょうか。また、導入の課題になる部分についても見ていきます。

1-1. 国内におけるIoT市場規模と将来予想

ここでは、2014年度からのIoT市場規模の変遷と、2016年以降の未来予測データをご紹介します。

2016年の1月、マーケティング・リサーチをおこなうMM総研が「IoT(Internet of Things)の国内市場規模調査」の結果を発表しました。

これによれば2014年度の市場規模は2000億円以下ですが、2015年にはその2倍、2016年には3倍と大きく成長しています。このように、確実にIoT製品やサービスは増えているのです。

1-2. IoT導入の課題になっているもの

その一方で、IoTを導入するにあたって「課題がある」と感じている企業も多いようです。

こちらも、MM総研のデータです。IoTを導入もしくは導入を検討している企業は、その多くがIoT導入の課題に「情報漏洩やサイバー攻撃の不安」を挙げています。

現に、2014年ヒューレットパッカード株式会社が実施した「IoTのセキュリティ調査報告」の結果でも、調査対象製品の70%にセキュリティ上の欠陥が発見されました。もっとも大きな今後の課題は、やはりセキュリティ面といえるでしょう。

2. IoTのセキュリティ脅威とは?

モノをインターネット接続したIoT製品には、どのようなセキュリティリスクが生じるのでしょうか。基本的には、以下のような項目が挙げられます。

2-1. アプリケーションの改ざん

IoT製品に搭載されたアプリケーションが、なんらかの手口でサイバー攻撃を受け、データ改ざんされてしまう可能性があります。

製品が改ざんを受ければ、本来設定されたものと異なる動作をおこない、利用者に大きな影響を与えることが考えられるでしょう。たとえば、自動車や医療機器などに搭載されたアプリケーションが予期せぬ動作をすれば、命を脅かすキケンもあります。

2-2. アプリケーション乗っ取りによる悪用

上記のようにアプリケーションのデータが改ざんされ、遠隔操作などができるようになる可能性もあります。その場合、さらに別のIoT製品にもサイバー攻撃をおこなう踏み台として、悪用されることも考えられるでしょう。

2-3. 収集された情報の漏えい、悪用

IoTによって収集された情報が盗まれたり、悪用されたりするケースも考えられます。たとえば、最近はIoT電気照明などが登場していますが、この照明の点灯・消灯データが閲覧されれば、家に不在の時間を割り出すことが可能です。

このように、インターネット上で蓄積されたデータが漏えいしたり、悪用されたりして予想外の事件・事故に巻き込まれる可能性が危惧されています。

2-4. アプリケーションの脆弱性

脆弱性とはセキュリティの弱点のことをいいます。基本的に、セキュリティ面で100パーセント安全なアプリケーションは存在しません。かならず、なにかしらの脆弱性があるといわれます。

通常、パソコンやスマホのアプリに脆弱性が発見されれば、提供元から修正するためのデータ(パッチ)が配布されます。

しかし、あれもこれもIoTが導入されればまさに収集がつかない状態となって、そのまま放置される危険性が高いです。この脆弱性を悪用されれば、サイバー攻撃など造作もありません。

3. 実際にあった!IoTのセキュリティ事故事例

実際にIoT製品で起こったセキュリティ事故の事例を紹介します。

3-1. DVD/HD レコーダーからスパム投稿

2004年、東芝製HDD&DVDビデオレコーダーがスパムコメント(掲示板などへの迷惑な書き込み)投稿に悪用される事件が相次いで報告されました。

この原因は、ビデオレコーダーが初期設定の状態(ユーザー名・パスワード未設定)になっていると、外部からプロキシサーバー(パソコンの代理)としてアクセスできたためでした。

3-2. ホームルーターがDDoS攻撃の攻撃元に

ホームルーターといえば、インターネット接続に使われる機器。しかし、脆弱性のある製品だと、サイバー攻撃の攻撃元として悪用される場合があります。

最近ではDDoS攻撃の踏み台として使われる事件が相次いでいます。なお、DDoS攻撃とは複数台のネット機器から特定のサイト・サービスにアクセスを集中させ、サーバーをダウンさせる攻撃です。くわしくは以下の記事で解説しています。

security_128DosとDDosの違いは攻撃の仕方に違いがある
主にサイトを運営している(企業や個人問わず)のであれば、誰もが標的になりうる脅威。Dos(Denial of Services Attack「サービス拒否攻撃」)DDos(Distributed Denial ...

3-3. 複合機・プリンターの読み込み内容漏えい

2013年11月、国内の複数の大学においてFAXや複合機のスキャナーにて読み取った情報が、ネット上で閲覧できる状態になっていた、というセキュリティ事故が発生しました。漏えいした情報には大学内の個人情報や機密情報が含まれます。

また、最近では2016年1月にも複数の学術関係機関で、複合機やプリンターでのデータ漏えいが発覚しました。

4. 利用側が実施すべきIoTセキュリティ対策

IoT製品のセキュリティ対策としては、つぎのような対策をおこなうのが効果的です。

4-1. パスワードは複雑なものを

パスワードを設定するとなると、つい覚えやすい単語やabcdといった単純なものにしていませんか?単純なパスワードにすると、セキュリティ面で非常にキケンです。

突破されにくいパスワードのつくり方は、以下の記事でくわしく解説しています。また、可能であれば、二段階認証なども取り入れたほうがよいでしょう。

security_03安全なパスワードの作成方法と管理のコツ・強度のチェック
パスワードの安全性と・強度について考えてことはありますか?難しいパスワードは覚えられないから簡単なパスワードを設定している人がおられます。クレジットカードを...

4-2. 紛失・盗難に注意する

基本的な部分ですが、IoT製品を操作するためのデバイスなどは、肌身離さず持ち歩くように注意してください。ひとたび盗まれれば、情報を盗まれたり悪用されたりするキケンがあります。

4-3. 余計な情報は登録しない

IoT用のアプリを取得するときなど、たとえばメールアドレスなどの情報を入力して登録すると、情報漏えいした際にメールアドレスも漏えいしてしまいます。

IoTの動作に影響がない範囲でのみ、情報の登録をおこなったほうがよいでしょう。

5. 提供側が実施すべきIoTセキュリティ対策

IoTサービスを提供する企業側としては、つぎのような対策が求められます。

5-1. ソフトウェア・アプリケーションの更新

IoT製品はもはやただのモノではなく、ネットワーク機器です。定期的にアップデートをおこなうことで、つねに脆弱性が修正できる体制を整える必要があるでしょう。

5-2. 通信の暗号化

個人に関わる情報を取得・集積するタイプのIoT製品は、その取得データを暗号化するようにしましょう。暗号化することで、万が一第三者に情報を取得されても、中身を読むことができなくなります。

5-3. セキュリティ機能の拡充

サイバー攻撃対策として、IoT製品にもアクセス制限などの機能を設ける手段があります。パソコンやスマホのセキュリティソフトのような機能があると非常によいです。

まとめ

2014年11月の米ガートナーの発表では「IoTにつながるモノは2020年におよそ250億個になる」と予想しています。IoT製品を提供する企業はもちろんのこと、使う側もセキュリティ面で意識を高めていく必要があるでしょう。

  • このエントリーをはてなブックマークに追加
  • Pocket
  • LINEで送る