トピックス 2019.04.05 IoT製品を狙ったウイルスが続々登場？！押さえておきたい最新トレンドと防御策

IoTとはInternet of Things(モノのインターネット)の略称で、パソコンやスマホだけでなく例えばスマホで鍵を開け閉めできるスマートロックなどのようにモノがインターネットにつながるIoT製品がこれから急速に増えていくでしょう。

イギリスの市場調査会社のIHS Markitが発表したところでは、2017年時点で既に約270億個もある地球上のIoT製品の数は、2030年には約1,250億個まで増えると予測されているようです。

身近にある製品がインターネットへ接続することで、例えば家にいなくてもエアコンの電源を入切できたり、心拍数や血圧を測れるスマートウォッチなどのヘルスケア機器からデータを集めて体調を管理したりと私たちの暮らしはますます便利になっていきます。

一方で、インターネットに接続しているということは、パソコンやスマホと同じようにIoT製品もセキュリティ対策に注意しなければなりません。

IoT製品を狙ったウイルスが初めて登場したのは2016年のことです。この「Mirai」という名前のウイルスの登場で、IoT製品に関するセキュリティ対策の必要性が大きく注目されることになりました。

ウイルスの中には感染したパソコンを乗っ取って特定のWebサイトへ攻撃を行いサーバーをダウンさせるという「DDoS攻撃」を行うものがあります。

この攻撃はそれまでパソコンを乗っ取る手法が一般的に用いられていましたが、Miraiは初めてIoT製品を乗っ取って大規模な攻撃を行ったのです。

その後も2017年には「WannaCry」というウイルスが150ヶ国以上で35万件にものぼる感染被害をもたらしました。被害の事例には、銀行のATMや駅構内のディスプレイにWannaCryが感染し、脅迫メッセージが表示されたといったトラブルが確認されています。

MiraiやWannaCryといったウイルスの登場は、パソコンやスマートフォンだけでなく、Webカメラやウェアラブル端末といったIoT機器においても、ウイルスの脅威にしっかりと備えておかなければいけないと強く意識させられる出来事となりました。

今年の1月25日、日本政府は「NOTICE」（National Operation Towards IoT Clean Encironment）というIoT製品の利用者への注意喚起を行う大規模なプロジェクトを発表しました。

これは政府がサイバー攻撃対策の一環として行う啓蒙活動で、ルーターやWebカメラといった国内のIoT製品に対して無差別に侵入することを試みて、ログインに成功した場合には持ち主のユーザーへの注意喚起を行うと発表されています。

IoT機器を狙ったサイバー攻撃で深刻な被害が発生している他国の情勢と2020年のオリンピック・パラリンピックを前にした今、日本もこのタイミングでしっかりと対策を行っておく必要があると政府は考えた模様です。

それでは私たち一人ひとりが個人として実施できる対策にはどのようなものがあるのでしょうか？　総務省と経済産業省によって定められている「IoTセキュリティガイドライン」を元にいくつかの方法をご紹介します。

インターネットに接続する機器やサービスを購入・利用する場合は、サービスの問い合わせ窓口やサポートがあることを確認しましょう。サービスの利用中に何らかの不都合が発生してしまった場合、自分だけで適切な対処ができるとは限りません。

また、サポート期間のある製品の場合は、期限を超えての利用を行わないように気をつけましょう。

ウェアラブルデバイスやスマート家電などのインターネットに接続する機器を初めて使うときには、IDやパスワードの設定を適切に行うことがとても重要です。

パソコンやスマホと比べてIoT製品はキーボードやディスプレイがない場合も多く、「初期パスワードをそのまま使用しない」「123456などの単純なパスワードを設定しない」といった基本的な対策が疎かになってしまいがちです。

こういった簡単にできる対策を怠らないだけでも、デバイスへのウイルスの侵入リスクを大きく下げることができます。

使用しなくなった製品や不具合が生じた機器はインターネットへの接続を切断し、電源を切るようにしましょう。

悪意のあるウイルスなどはすべてインターネットを経由して製品や端末へと感染するため、使っていないデバイスをインターネットに接続した状態のまま放置すると、不正利用されてしまうリスクが上がってしまいます。

一度使った機器を捨てる、売るなどして手放す時には忘れずに情報を削除しましょう。思わぬところでデータが漏洩したり、個人情報が悪用されてしまう場合があります。

パソコンやスマホ以外でもクレジットカード情報や写真、位置情報、各種サービスのログインアカウント情報などがデバイスに登録されているケースが存在します。

データを消し忘れてしまうとそういった個人情報の流失につながり、場合によっては悪用されてしまうケースも考えられますので十分に注意しなければいけません。

スマホのブラウザの設定画面から、過去に閲覧した履歴・Cookie・キャッシュの情報を削除します。これらには偽の警告画面の情報が含まれている場合があるので、再度表示されなくするためにまとめて削除します。

IoTが普及していくと、パソコンだけでなく、自動車や家電といったありとあらゆる製品がインターネットに接続するようになり、私たちの生活はますます便利で豊かなものになっていくでしょう。

そのような生活を安心して続けるためには、サービスを提供する企業や製品を作るメーカーに加えて私たちユーザーもそれぞれがしっかりと対策を行うことが重要です。

「IoTセキュリティガイドライン」も、IoTセキュリティの基本的な内容が分かりやすく書かれていますので、概要版だけでも目を通しておくと安心ですね。

お掃除ロボットやスマホから操作できる洗濯機といったIoT製品を単なる家電の延長としてとらえるのではなく、IoT製品もパソコンやスマホと同じようにサイバー攻撃を受ける対象になるのだということを認識して、しっかりと対策を行っていくことが大切です。

【関連リンク】
・The Internet of Things: A movement, not a market（IHS Markit）
https://cdn.ihs.com/www/pdf/IoT_ebook.pdf
・NOTICEサポートセンター
https://notice.go.jp
・IoTセキュリティガイドライン ver1.0
http://www.meti.go.jp/press/2016/07/20160705002/20160705002-1.pdf
・IoTセキュリティガイドライン ver1.0（概要）
http://www.meti.go.jp/press/2016/07/20160705002/20160705002-2.pdf

TEXT：セキュリティ通信 編集部
PHOTO：iStock