Internet of Thingsを略した「IoT」は、デバイスや家電などの「モノ」がインターネットとつながることで、新しい機能や付加価値を作り出す仕組みのことを指します。
例えばエアコンなら、エアコン本体の近くにいる人がリモコンを使って冷暖房機能をオンにする方法がこれまで一般的な使い方でしたが、IoT機能を搭載したエアコンになると、スマホの専用アプリを使うことで、外出先からエアコンの遠隔操作が可能になります。
エアコンのほかにも、帰宅時間に合わせてご飯を炊いたり、湯船にお湯をはるなど、IoT機能を搭載した家電は驚くべき速さで私たちの暮らしに普及していますが、家電だけでなく血圧、心拍数、一日の活動量を計測できるウェアラブルウォッチや、ウェアラブルスマートグラスなども、IoT機能を搭載したデバイス(モノ)のひとつです。
さらに、自宅にいるペットの様子を勤務先から確認できるカメラアプリや、自動車、街に施設の監視カメラ、オフィスや医療現場で使用する様々な機器など、あらゆるシーンで私たちはIoT技術の恩恵に浴しています。しかし、IoTテクノロジーによって私たちの暮らしは便利になった一方、IoTデバイスを狙ったハッキングやサイバー攻撃の脅威も増しているのです。
Contents
まずは、「IoT(Internet of Things)」と「IoTの仕組み」「IoT家電とスマート家電の違い」の3つの基礎的なポイントをおさらいしましょう。
IoT とは、情報通信技術の概念を指す言葉で、従来インターネットに接続されていなかった様々なモノ(家電、デバイス、車、住宅・建物、製品、電子機器、センサ、駆動装置など)が、ネットワークを通じてサーバやクラウドサービスに接続され、相互に情報交換をする仕組み・技術のことを指します。日本では、Internet of Thingsから「モノのインターネット」と呼ばれます。
IoTの仕組みは、IoT家電本体の「デバイス(家電や機器など)」と、データの送受信やデバイスへ指示を出す「クラウド(サーバ)」、さらに、デバイスとクラウド間で情報の伝送を行う「ネットワーク」の3つの要素で構成されています。
現在のところ、IoT家電とスマート家電の違いは厳密に定義されていませんが、おおまかにインターネットとつながったシンプルな仕組みの家電を「IoT家電」と呼びます。一方の「スマート家電」は、スマホの専用アプリとクラウド(サーバ)間のWi-Fi環境でデータの送受信を行い、アプリをリモコンがわりに使う家電のことを指します。
● IoT家電
インターネットとつながっていて、ネット経由で操作する家電
● スマート家電
スマホの専用アプリとクラウド(サーバ)間でデータを送受信する家電
IoT家電やスマート家電が実用化されたことで、私たちの生活はとても便利になり、家事にかかっていた手間や時間が大幅に軽減することになりましたが、個人の生活に限らず、IoTテクノロジーは産業界でも新たな価値を創出しています。
しかし、インターネットにつながったパソコンがサイバー攻撃の対象になるのと同じように、インターネットにつながったIoTデバイスにもセキュリティリスクが存在し、これまでに様々なシーンでIoTデバイスにサイバー攻撃が仕掛けられているのです
どのようなサイバー攻撃やハッキングが起きているのか、米国、フランス、ドイツ、ロシアの事例を紹介し、最後に日本国内で起きた不可解なサイバー攻撃についてご紹介しましょう。
「Mirai」というマルウェア(悪意のあるソフトウェア/ウイルス)に、世界中の何十万台ものウェブカメラやルータなどのIoT機器が感染・乗っ取られるという、IoT機器を介した大規模サイバー攻撃(DDoS攻撃)が発生。この攻撃により、米国では大手のSNSや動画配信サイトをはじめ、新聞社、ショッピングサイトなどのWebサイトへのアクセスが困難となり、社会や経済活動に大きな影響をおよぼす事態に。
フランスのホスティング事業者が保有する自社サーバがマルウェア「Mirai」に感染・乗っ取られ、ピーク時には100Gbps(12.5GB/s)の10倍にあたる1Tbpsを超える過去最大規模の攻撃トラフィックが観測され、ネットサービス等の通信事業への支障はもとより、何時間にもおよぶアクセスの遅延が発生。この攻撃は、14万台以上のIoT機器を踏み台にした記録的規模のDDoS攻撃であったことから、IoT機器を使用する産業界、業者から大きな注目を集めることに。
ドイツテレコム(電気通信事業者)のユーザが使用するルータに、攻撃者がバージョンを改造したマルウェア「Mirai」が感染。家庭用ルータの脆弱性を悪用された攻撃によって、ドイツテレコムに加入する100万人近いユーザが、サービス停止や制限などの影響を受ける事態に。
ネットワークでつながった世界各国の監視カメラ(約2万台)の映像を生配信していたロシアのWebサイト「Insecam」上にて、日本の監視カメラ映像(約6000台強)を含む世界各地の映像や位置情報がURLとともに不正公開されていることが発覚。後の調査で、IDやパスワードが初期設定のままだったことがハッキングを容易にした要因として判明。
インターネットを通じて遠隔で確認・監視できる埼玉県上尾市の河川監視カメラが不正アクセスされ、本来、河川の状況しか映らないはずの管理モニタに、「私はこのシステムをハッキングしたよ、じゃあね」という揶揄的ニュアンスを含んだ「I'm Hacked. bye2」というメッセージが表示。
また、この河川監視カメラは自治体の管理下にあるため、外部からアクセスできない設定になっていたが、侵入者にIDやパスワードが解析されたうえ、侵入者によってパスワードを変更されたことで、河川監視カメラの制御ができなくなる事態に。
世界のIoT機器を対象にしたサイバー攻撃の一部をご紹介しましたが、国立研究開発法人情報通信研究機構(NICT)が公表したデータによると、2022年に観測されたサイバー攻撃関連通信は5226億件(パケット)で、およそ半数がWebカメラやルータなどのIoT機器を狙ったものであることが判明しています(下グラフ参照)。
想像してみましょう……。いつも使っているスマホやiPadなどのデバイスがウイルスやランサムウェアなどのサイバー攻撃の標的になり、なんの前触れもなく画面が真っ黒になり、再起動しても何をしてもまったく動かなくなってしまったときのことを……。
パソコンやスマホは、最新OSへの定期的なアップデートで、セキュリティ対策のソフトウェアをインストールすることができますが、パソコンやスマホと同様に、IoT製品(家電)もサイバー攻撃の対象になるにもかかわらず、自宅で普段使用しているIoT製品(家電)のセキュリティ対策について、無頓着な人も多い現状にあります。
こうした人たちのなかには、「サイバー攻撃は身代金が目当てのことが多いから、ターゲットは企業が多い。だから、自分が使っている家電が攻撃を受けることはない……」と考えている人もいます。でも実は、私たちが身につけているウェラブルデバイスや、デジタル家電、デジタル機器も、インターネットにつながっていることでマルウェアをはじめとした攻撃の標的になり得るのです。
悪意ある侵入者や犯罪者は相手(企業、個人)を選ばす、セキュリティが脆弱な無防備なスキを狙って、ハッキングを仕掛けてきます。その実例として、企業のほとんどが使用している複合機のファクスやスキャナーで読み取った情報が、使用者が知らない間にインターネット上に流出してしまった……というケースも報告されています。
こうしたケースと同じく、あなたが普段何気なく使っているデバイス、IoT家電、IoT機器がネットワークを介して攻撃(マルウエアなどの不正プログラムに感染)され、「デバイスに登録された知人の個人情報が外部に流出」といった恐ろしい事態が起きるほか、「プライバシー情報が盗まれる」「家の所在地、不在時間などを割り出される」といった脅威にさらされることも。さらには、あなたのデバイスから窃取した情報が、次の攻撃の“踏み台”にされる恐れもあるのです。
自分が使用しているIoT家電やIoT機器がサイバー攻撃に遭わないためには、どのような対策を講じればよいのでしょうか。基本的な対策になりますが、現段階では次の6つの対策が有効とされています。
初期設定の簡単なパスワードのままにせず、複雑なパスワードに変更しましょう。 総務省と国立研究開発法人情報通信研究機構(NICT)によると、容易に推測されるID・パスワードは誕生日、電話番号などをはじめとする約600通りが確認されていて、過去にサイバー攻撃にさらされたものには、初期設定に近い「password」「888888」「123456」「admin」などがあります。
IoT機器の半数がサポート期間を終了していると同時に、IoT機の使用者の半数が「アップデートをしたことがない」と回答しているという報告もあります。
購入時の状況(設定)のまま放置しているとサイバー攻撃にさらされる危険性が格段に高くなるため、ファームウェアの更新や修正プログラムが公開された際にはすぐに適用し、あわせて「定期的なチェック」を怠らないようにしましょう。
「デバイスを使用していないときはインターネットの接続を遮断する」ことがマルウェアの感染を最小限に抑える手段のひとつになります。もし、普段使用していないIoT機器があれば「電源を切る」「インターネットの接続を切る」といった対策をこまめに講じるようにしましょう。
最近は自宅のルータを使ってリモートワークをする人が増えていますが、Web会議(リモートミーティング)で使用するパソコンのWebカメラやルータを介してハッキングするツールや手法は、ネット上で容易にみつけやすくなっていて、悪意ある者が容易に悪用できるようになっています。 このことから強盗を目的とした犯罪者や、悪意を隠しもつ知り合いやストーカーからプライバシーを侵害されないためにも、ウェブカメラやルータ、ベビーモニタを使用していないときは極力ネットの接続を切るようにし、同時に対策②で紹介した内容にもこまめに取り組みましょう。
IoT機器のなかには、アクセス可能な端末を制限する機能や、外部からの不要アクセスを制限する設定がついたものもありますので、そうした機能がついたものは宝の持ち腐れにならないよう、機能をフル活用しましょう。
機器のランプが点滅するようになった、動作が鈍く、重くなった……こんなときは、マルウェアに感染したおそれがあります。IoT機器に感染するマルウェアの「Mirai」は、現時点で一度電源を切ることによって除去できることも確認されているので、「あれ? おかしいな」「動作がいつもと違う」と違和感を感じたら、一度電源を切って、30秒ほどOFFのままにしたうえで再起動させ、挙動が正常になっているか確認しましょう。同時に挙動がおかしいなと感じたときは、IoT機器の設定を見直し、使わない機能やポートは無効化することをおすすめします。
—— Webカメラの映像や音声をリモートで盗聴したり、使用者の許可なくカメラをオンにして撮影したり、さらには、Webカメラを使って盗み出した盗撮画像や個人情報をオンライン上で販売し、多額の利益を得ている犯罪者がいます。
こうしたネットを不正使用した行為や攻撃の対象になりやすいのは、ネットワークセキュリティの意識が低く、対策が万全ではない国を対象にすることが多く、残念なことに日本はネットを使った不正行為や攻撃に“寛容”であると言わざるを得ないため、悪意ある犯罪者のターゲットになりやすい状態にあります。
もし、自宅で過ごす自分の姿が知らない間にネット上で公開されて、売買されているなんて信じられないことですし、一度そうした被害に遭うと、立ち直ることが難しい深刻な心的ダメージを負うことになりますので、この記事を読んだらすぐに、ベビーモニタやパソコンを使用していないときは、Webカメラのレンズ部分に透過できないように数枚重ねたフセンを貼る、布をかけるなどの対策を講じましょう。加えて、犯罪者に攻撃されないよう、パスワードの変更やバージョンの更新にも早速取りかかってくださいね。
日総グループではITエンジニアのお仕事も多数掲載中!
「新たな技術フィールドで活躍したい」、「自らの可能性をもっと追求したい」、「エンジニアとしてキャリアアップを図りたい」と考えている皆さんを、全力でサポートいたします。詳しくは「エンジニア求人ナビ」をご覧ください。
エンジニア求人ナビは、日総グループのエンジニア採用ページです。日総グループには「未経験の方」も「経験を活かしたい方」も、エンジニアとして活躍できる場があります。
採用に関するご相談など、お気軽にお問合わせください。
受付は平日朝9時より18時までとなります。
平日18時以降、土日祝日のお問合わせは翌営業日以降にご対応いたします。
© NISSO CORPORATION All Rights Reserved.