IoTが狙われる理由!?求められるIoTセキュリティ対策とは?

IoTセキュリティイメージ

 

IoT(Internet of Things「モノのインターネット」)と言う言葉が世間を賑わせる様になってから久しく、今やあらゆるデバイスがインターネットにつながり、社会を支えています。自動販売機のSuica、交通の到着案内、家電の遠隔操作(温度管理など)など、さまざまな分野で成長著しい「IoT」。AIとの融合で、ロボットのあり方も変えようとしています。

しかし、問題があります。IoTもインターネットにつながる以上、サイバー攻撃の標的になるのです。IoT機器にもセキュリティ意識が求められています。

IoTへの脅威 サイバー攻撃の対象

総務省の調査※によると、世界のIoT機器の数は20年には約300億、21年は約348億と予想しています。

工場やビル、家電、自動車などあらゆる物がインターネットにつながり、爆発的に増加していく見通しです。

IoTの導入により、
・高齢化で悩む農業への負担を減らし、効率化をはかる
・全国の交通情報を把握して、渋滞を減らす
・患者が薬を飲んだら通知する「デジタル薬」

など豊かで健康的な生活を享受できる一方で、パソコンやスマホなどのモバイルと同様に、不正アクセス、サイバー攻撃の脅威を忘れてはいけません。

マルウェアに感染したIoTデバイスが、ハッカーの意のままに操られる恐れがあります。IoTは単なる独立した「モノ」ではなく、インターネットを介した「つながったモノ」なのです。社内ネットワークやサーバー同様にリスクがあり、セキュリティ意識を持つことが重要です。

※総務省「特集:爆発的に増加するIoT」

IoTが狙われる理由とは

18年7月30日の日本経済新聞によると、日本では5分に1回の割合でIoT機器へのサイバー攻撃が行われているようです。

では、なぜそんなにIoTがサイバー攻撃に狙われてしまうのでしょうか。
情報を盗む、サイトへ攻撃する、ウイルスを撒き散らすなど直接、対象者のパソコンやサーバーを狙った方が効率的なように思えます。

鍵屋さんが言うには、泥棒はわざわざ頑丈な入口からは入ってこないそうです。セキュリティの甘い家を探して、侵入するそうです。

これは、ハッカーにも同じことが言えます。

ハッカー側からするとIoTの多くは、脆弱性があり、サイバー攻撃だと気付かれにくいメリットがあるのです。気付かれなければ、対策もされないでしょう。また、IoTはネットを利用している意識が低いと言えます。セキュリティ意識が低いと、当然、泥棒と同じように狙われやすくなってしまいます。

こちらのYouTube(英語)の動画では、セキュリティ対策が施されていないIoT機器は、脆弱性を突いていかに攻撃されてしまうのかを示しています。

IoT特有のリスク

16年10月26日、「過去最大のDDoS攻撃(一斉に大量のパケットを送るサイバー攻撃)」と言われる事件がアメリカで発生しました。

この事件では、IoT機器をハッキングするマルウェア「Mirai」が悪用されています。IoTが「踏み台」にされ、大規模なサーバーダウンが起きました。接続サービスを提供するダイン社が攻撃されたことで、Amazon、Twitter、ニューヨークタイムズなどのサーバーがダウンし機能停止しています。

直接、ネットワークを狙わなくてもIoTを踏み台にすることで、大規模なサイバーテロが行なえるという恐ろしい例です。例のように知らないところで、自分のIoTがサイバー攻撃に加担することもあります。

では、IoT機器がサイバー攻撃に合うとどのような特有のリスクがあるのでしょうか。

・Webカメラの映像を盗み見される
・IoTで管理された自動車や電気製品などを攻撃者の好きなように遠隔操作される
・Wi-FiなどルーターのDNS設定を書き換えられ、不正なサイトにアクセスさせられる
・IoTランサム攻撃(※横浜国立大学などの実験)
など、あらゆることが想定されます。

IoTのセキュリティ対策

自分でできることは限られてきますが、IoTのセキュリティ対策を見直してみませんか。

・パスワードの設定
工場出荷状態の「0000」などのデフォルトのパスワードになっていませんか。銀行やクレジットカードを分かりやすい暗証番号にしないのと同じです。設定を変更しましょう。

・常にアップデートさせる
IoTにもパソコンと同様に機器を動かすソフトウエアが入っています。常に最新の情報にアップデートすることもセキュリティ対策です。自動でアップデートする設定にしておきましょう。パソコンと同様に意識して使用してください。

・ルーターを使った接続
インターネットに直接、接続させずに、無線ルーターやファイアウォールなどで保護されたネットワークを使うことでセキュリティ対策になります。

・必要のないときは接続を切る
常時、接続にする必要がなければ、使うときだけネットにつながる状態にするだけでもリスクを減らすことができます。

もちろん、IoTはインターネットにつながったモノであると1人1人が意識することも大切です。企業や組織で使用するIoT機器は、新しいデバイス、古いモノが混在する状態ではないでしょうか。これは脆弱性があり、これは安全だと分かりにくいものです。

長いデバイスであれば10年以上、使用することもあるでしょう。
デバイスの数も多くなり、セキュリティ対策が容易でないと悩む企業が増えています。

そういったときには、セキュリティのアウトソーシングを視野にいれてみませんか。
業務をアウトソーシングすることで、新しい部署を立ち上げてセキュリティ対策をする必要がなくなります。IoTセキュリティの質も高まり、コア事業への力を分散させることなく、効率化と競争の優位性を高めることができます。

あらゆるセキュリティ対策も万全ではない

ただ、あらゆるセキュリティ対策を施したとしても、セキュリティ対策はいたちごっこと言われています。どんなに強化してもそれで万全というわけではありません。

そのため、万が一侵入されデータの改ざんを許した場合の備えも重要になってきます。監視サービスを導入していれば侵入を素早く検知し、改善策を打てる様にしましょう。パトロールクラリスを導入すればRPAとの連携で監視の強化だけでなく調査・復旧・報告・設定までの運用を自動化出来ます。検知から即復旧までを自動で処理してくれるので安心です。

関連記事