近年、あらゆる分野で急速に普及が進むIoTですが、大きな利便性がある一方で、セキュリティ対策の不備による被害が増えて問題となっています。ここでは、特にIoT機器の開発に携わる方々に向けて、セキュリティ対策の重要性について認識していただくために、IoTに潜む脅威とその対策について解説します。前編の今回は、脅威の内容を中心に具体的な被害事例についてもご紹介します。

IoTに潜む脅威とセキュリティ対策

機器やサービスがインターネットにつながるということは、インターネットを通じて外部との接点ができるということ。そのため、IoT機器においてセキュリティに穴があれば、外部からインターネットを通じてセキュリティを侵害されたり、サイバー攻撃の標的にされたりするリスクが生じます。

IoT機器を開発する際には、IoTがこうした脅威をはらむことを理解し、適切なセキュリティ対策を行うことが必須となります。

IoT機器メーカーとして不利益も

開発・製造するIoT機器に十分なセキュリティ対策が行われていないと、ユーザー側に被害をもたらすだけでなく、メーカー側にも不利益が生じる可能性があります。リコール対応が必要になったり、訴訟に発展したりする事例もあり、経営に関わる問題となってしまいます。経営的観点からも、IoT機器へのセキュリティ対策の重要性を知っておくべきでしょう。

IoTに潜む脅威とは？ ～スマートホームを例に

IoT機器に対するセキュリティ対策の第一歩は、どの箇所にどんな脅威が存在するのかを明らかにし、認識しておくことです。スマートホームを例にとって具体的に見ていきましょう。

上図は、スマートホームの一例をモデル化したものです。HEMS(*)コントローラを中心に、HEMS対応機器やネットワーク対応機器がホームルータを介してインターネットに接続された状態を図式化しています。外出先からスマートフォンを使ってクラウドサービス経由で家庭内の機器にアクセスすることができ、それによって、家庭内の機器の様子を監視したり、遠隔操作したりすることが可能となっています。

＊HEMS（Home Energy Management System）は、家庭の電力需給をコントロールするシステムで、対応する機器を一元管理することで省エネルギーを目指します。

このシステムでは、以下のような脅威が潜んでいると考えられます。

• 不正アクセス（不正利用）
• 情報漏えい
• 盗聴・改ざん　
• DoS攻撃
• ウイルス感染

不正アクセスを許してしまうと、個人情報の漏えいにとどまらず、取得したデータを悪用した金銭的・物理的被害を被る危険性があります。

箇所ごとに想定される脅威

スマートホームで想定される脅威について、箇所ごとに見ていきましょう。

クラウドサービス

クラウドサーバのIPアドレスとポート番号を割り出されてしまうと、不正アクセスのきっかけとなり、あらゆる脅威にさらされることになります。大量のアクセスやデータを送りつけて負荷をかけるDoS攻撃を受けると、対策のされていないクラウドサーバでは応答不能状態か停止状態になってしまいます。クラウドサーバに保存された各種データの情報漏えいも起こり得ます。

HEMSコントローラ

通信経路でのデータの盗聴・改ざんのほか、ウイルス感染の脅威が想定されます。

ウイルス感染では、外部からの攻撃でIoT機器が乗っ取られ、知らないうちに他のIoT機器やサイトへの攻撃の中継ポイント（踏み台）として利用されてしまうケースが問題になっています。悪意ある第三者による「踏み台攻撃」の被害でありながら、同時にサイバー攻撃に加担してしまうリスクです。

ホームルータ

不正アクセスやDoS攻撃の脅威があります。DoS攻撃を受けると、ホームルータは応答不能状態か停止状態になってしまいます。

無線通信・モバイル通信

通信経路において、データの盗聴・改ざんの脅威が想定されます。

ネットワークカメラ

不正アクセスにより、カメラの画像の盗み見、画像データの改ざんや削除の被害を受けることがあります。カメラやホームルータ、クラウドサーバへのDoS攻撃により、カメラへのアクセスができなくなったり、ウイルス感染により踏み台攻撃に利用されてしまう場合もあります。

スマートフォン・タブレット端末・PC

不正アクセスによる不正利用やウイルス感染の危険が考えられます。

スマートメーター

不正アクセスにより、計測データの情報漏えいが想定されます。

IoT機器を狙った攻撃事例

IoT機器がサイバー攻撃の標的となり、被害が発生した事例をご紹介します。

マルウェア感染によるDDoS攻撃

2016年、マルウェア「Mirai」に感染した約18万台のIoT機器から、ある著名人運営のWebサイトに対してDDoS攻撃が仕掛けられました。DDoS攻撃とは、攻撃者が大量のコンピューターを乗っ取って一斉に仕掛けるサイバー攻撃のこと。負荷を増大させることでサーバーをダウンさせます。

ウイルスに感染したのは、セキュリティ設定や対策が不十分なままネットワークに接続されていたIoT機器で、その後出現したウイルスによっても、脆弱なIoT機器を狙って攻撃が繰り返されています。

ネットワークカメラを標的とした攻撃

近年、監視カメラとして設置が進むネットワークカメラも標的とされることが増えています。インターネットを通じて遠隔でカメラの映像を確認できる仕組みを悪用して、カメラの画像データの盗難や改ざん、さらには機能を停止させる事例が発生。2018年には、国内の複数の自治体で、河川などの監視カメラが不正アクセスを受けました。

まとめ

IoT機器の開発の際には、それぞれの機器に応じたセキュリティ対策を講じる必要があります。そのための第一歩として、前編の今回は、IoT機器に潜む脅威について具体的に見てきました。どの箇所にどのような脅威が存在するのかを知ることで、必要な対策へとつなげることができます。後編では、脅威への対策について解説します。

＊〈IoT開発のためのセキュリティ知識〉【後編】セキュリティ脅威への対策を知ろう へ続く