2018年 8月

企業のITセキュリティ講座

企業内でも安心は禁物。家庭向けIoT機器への脅威

ライター/吉澤亨史

インターネット対応のHDDやプリンター、テレビ会議システムなどは、企業で使用するIoT機器として認識されている。しかし、会議室にインターネット対応テレビやレコーダー、レクリエーションルームにゲーム機など、家庭向けのIoT機器を使用しているケースは少なくないのではないだろうか。こうした家庭向けのIoT機器がサイバー攻撃の標的になっている。ここでは家庭向けのIoT機器へのサイバー攻撃と、その対策について紹介する。

企業内にもある家庭用IoT機器

IoT(Internet of Things:モノのインターネット)の進展により、さまざまな製品がインターネットに接続されるようになってきている。特に家電製品のIoT化が顕著で、照明や冷蔵庫、ガス給湯器、テレビ、ブルーレイレコーダー、ゲーム機、ドアホン、ポットに至るまでIoT化されている。IoT化の目的はさまざまで、スマートフォンのアプリで外出先から操作することを可能にしたり、レシピや番組表などの情報をダウンロードしたり、あるいは高齢者の活動確認にも活用されたりしている。

多くの家電製品には、従来もOSが搭載され、さまざまな機能を提供していた。それがさらにIoT化することで、インターネットへの接続機能も追加された。製品それぞれにIPアドレスが割り振られることになり、もしグローバルIPアドレスが割り振られた場合には、インターネット上にその機器が露出することになる。これは、セキュリティの面でも対策が必要なことといえる。

こうした家庭用IoT機器が、いつの間にか企業内にも存在していないだろうか。インターネット対応のHDDやプリンターなどもIoT機器と呼べるが、これらは既にBYODとしてセキュリティ対策を意識していると思われる。しかし、テレビ会議システムのようなIT機器だけでなく、会議室に設置されるテレビやブルーレイレコーダーなどはどうだろうか。また、給湯室には冷蔵庫やガス給湯器、湯沸かしポットなどもあるし、レクリエーションルームにはゲーム機などがあるかもしれない。これらがインターネットに接続しているかどうかは把握すべきといえる。

企業で使用される家庭用IoT機器

目次へ戻る

IoT機器を狙うサイバー攻撃

IoT機器は、その台数が急速に増えており、政府による情報通信白書では2020年に約300億台に達すると見ている。IoT機器は非常に多岐にわたっており、セキュリティ対策が十分ではない機器も多い。しかも、台数が非常に多いことから、サイバー犯罪者にとっては格好の標的となる。現在のところ、サイバー犯罪者がIoT機器を悪用する目的は、「DDoS攻撃」だ。

IoT機器を悪用したDDoS攻撃

サイバー犯罪者は、早期からIoT機器に感染するマルウェアを開発しており、既に「Mirai」や「Hajime」「Owari」などが確認されている。直接インターネットに接続されているIoT機器にはグローバルIPアドレスが割り振られているため、インターネットからのアクセスは容易だ。

IoT機器によっては、アクセスすると設定画面用のログイン画面が表示される。しかも、IoT機器の多くはパスワードを初期状態のまま変更していないため、ログインも容易に行える。サイバー犯罪者は、こうしてIoT機器にアクセスし、IoTマルウェアに感染させてしまう。これでIoT機器の遠隔操作が可能になるため、サイバー犯罪者にとってはサイバー攻撃用のIoT機器ネットワークを持つことができる。その数は数百万台ともいわれている。

DDoS攻撃であれば、マルウェアに感染させた数百万台のIoT機器に、標的となるWebサイトを送信元に偽装したリクエストを送信させる。すると、リクエストに対する返信が標的のWebサイトに大量に送りつけられ、Webサイトが動作を停止してしまう。2017年には100Gbps以上という大規模なDDoS攻撃が発生しているが、その発信元のほとんどが、感染したIoT機器であったことが判明している。

目次へ戻る

IoT機器に必要なセキュリティ対策

IoT機器のセキュリティ対策には、まずはIoT機器を直接インターネットに接続しないことが挙げられる。直接接続してしまうとインターネットからのアクセスが容易になってしまうので、必ずルーターやハブなどを介して接続するようにする。これにより、インターネットから直接設定画面などにアクセスされることを防ぐことができる。

また、マルウェア対策というと、セキュリティ対策ソフトの導入が一般的だが、IoT機器の場合はメモリーなどの容量が少なく、セキュリティ対策ソフトが導入できない場合もある。ただし、IoT機器に対応しているセキュリティ対策ソフトもある。こうしたものを導入するか、あるいはゲートウェイなど上位の部分で対策を行う。企業向けのセキュリティソリューションには、ゲートウェイ型のセキュリティ対策が可能なものがある。また、次世代ファイアウォールや次世代IPSの導入も有効だ。

IoT機器を踏み台にするサイバー攻撃も少なくない。例えば、米国の大手小売企業で発生した大規模な情報漏えい事件では、空調設備の脆弱性の悪用がきっかけで内部システムに侵入されたという報告もある。このため、標的型攻撃対策でいわれるような、内部対策や出口対策も有効となる。これにより、IoT機器が本来は行わない不審な通信をあぶり出すことができる。

IoT機器についても、その設定画面に一度はアクセスし、パスワードを初期状態から変更する。また、アップデートが提供されたときには、なるべく早急に適用することが重要となる。まずは自社にどのようなIoT機器があるのか、棚卸しを行い、それぞれのバージョンを把握して最新のものが提供されていないかを確認することも大切だ。IoT機器へのサイバー攻撃は、今後機器が増えるにつれて激しくなると予想されている。IoT機器へのサイバー攻撃の状況や、最新の対策方法などの情報にも目を光らせたいところだ。

IoT機器のセキュリティ対策

目次へ戻る