トピックス 2021.05.25 5GとIoT「ユーザーが便利になればなるほど、ウイルスを感染させる攻撃者も攻撃しやすくなっていく。」
前回は、リモートワークをするにあたり、注意すべき点やVPNの重要性について、コンピューターセキュリティ事業を展開する株式会社カスペルスキーの石丸傑さんにお話を伺いました。
第3回目となる今回は、5GやIoTの時代になった現在から未来にかけてウイルスがどのように変化し、どのようなリスクに注意すべきかなどについて、サイバーセキュリティのプロフェッショナルの観点から質問にお答えいただきます。
インターネットの速度が上がれば、サイバー上での攻撃速度もどんどん上がっていく。
セキュリティ通信:ひと昔前のウイルスの感染経路というのは、フロッピーディスクやメールの添付ファイル経由が一般的だったと思います。
しかし現在では、Webサイトはもちろん、メッセンジャーやSNSなどからもウイルスに感染するようになり、感染経路がどんどん増えてきています。そして、これから「5G」や「IoT」などのデジタル化がさらに進み、ウイルスの感染経路も増えていくことが考えられます。
このような観点から、ウイルスは過去から現在にかけてどのように変化してきたのでしょうか?また5GやIoTが当たり前になる未来では、どう変わっていくのでしょうか?
石丸さん:そうですね。まず、マルウェアは、データ入力を起点に、攻撃を行います。そしてその入力装置が、現在では多岐にわたってきてます。
インターネットがまだ普及していない時代、コンピューター同士が繋がっていませんでした。その為、マルウェアの感染媒体になっていたものが、CDやフロッピーディスクなどの物理的なものだったのです。
それが技術の進歩により、コンピューター同士がインターネットで繋がることによって、インターネットを介して広がる「ワーム」というのが出てきたんですね。(※ワームとは、自身を複製し感染拡大機能を持つマルウェアのこと)
現在ではSMSやメール(悪意のある添付ファイルなど)を介して感染を広げるようなマルウェアが出てきています。ほかにもSNS、SMS、メールに書いたURLをクリックさせ、表示された偽のWebサイトで個人情報を入力させるといった、いわゆるフィッシングという詐欺の手法も年々増加しています。
また5Gの時代になって、ユーザーが便利になればなるほど、攻撃者にとっても便利になってしまいます。インターネットの速度が向上すれば、攻撃者の攻撃速度も上がっていくことになるのです。
Bluetooth経由でトイレがハッキングされて、知らないうちに誤操作をされてしまう可能性がある。
セキュリティ通信:5GのほかにもIoTが話題になっています。色々なものにチップがついて、もしかしたら体にチップが埋め込まれるなんて話もありますよね。
そうすると、例えば、今まででしたらメールを開いたときだけパッとウイルスが入ってくる可能性があったところ、チップが体に埋め込まれるような未来では24時間いつでも攻撃者が私たちにタッチできることになってしまうのでしょうか?
石丸さん:IoTの各種デバイスなどは、インターネットに繋がってることが前提のため、インターネットを通じて攻撃者とも繋がってしまう可能性があります。現に、ガスメーターの数値の改ざんやWebカメラの映像を勝手に公開されるケース、またはルーターの脆弱性をつかれて感染してしまうケースなど、様々な事例が実際に発生しています。ですので、インターネット接続のターミナルになるゲートの機器(各種ルーターやホームゲートウェイなど)のファームウェアを最新に保ち、パスワードを初期値から変更し、機器自体のセキュリティ対策を行う事が重要になります。
そして、IoTだけではなく、近距離でデジタル機器のデータ通信をやり取りするBluetoothも攻撃対象になる可能性があります。
1つの例ですが、スマホからBluetoothで接続してトイレのメンテナンスを行うシステムがあると仮定します。このときに、トイレとスマホを連動させていなければなりません。もし、その連動をさせるときに使われるPINコードが0000で固定されていたらどうでしょう?。
さらに、このPINコードはユーザー側で変更することができなかったらどうでしょうか?
そのPINコードを入手した第三者にBluetooth経由でトイレにアクセスされてしまうかもしれません。更に、トイレを遠隔操作し、水を大量に出す、便座の温度を変える、などの悪意を持った嫌がらせ行為が可能になってしまいます。
小さな問題に聞こえるかもしれませんが、このようなことが発展していくと家庭のお風呂やエアコン、照明器具なども知らないうちに変更されてしまう可能性があります。
エアコンをハッキングされてしまうと、温度設定を変えられたりして命の危険性も出てきます。
セキュリティ通信:それは、誰でも0000というPINコードを知っていれば、ハッキングできてしまうのでしょうか?
石丸さん:Bluetoothの通信圏内に入っていれば可能です。
そのため、ユーザー側は、製品選定の段階で、BluetoothのPINコードが固定化されているのかどうか購入前に確認し、もし固定の場合には安全のためにBluetoothの機能をオフにすることも考慮しなければなりません。また、変更可能な場合でも説明書に記載されている初期値から変更することをお勧めします。そして企業側は、これらを理解した上で、セキュリティを強化しながら製品を作ったり、取扱説明書などで、ユーザーに説明していく必要があると思います。
まとめ
Key Points
・コンピューターウイルスなどの感染経路や、攻撃の手法が多様化、巧妙化している。
・5Gによって、攻撃する側の利便性も高くなっている。IoTが一般化していく時代は、インターネットにつながった各種デバイスも全て攻撃の対象となるリスクがあるのだと認識することが大切である。
・5G、IoT時代には、Bluetooth経由のセキュリティリスクにも気をつける必要がある。
いかがでしたでしょうか?
5GやloTなどが普及し始めて、私たちの生活がより豊かになっていきます。この先、さらに技術が進化すれば、スマホで目的地を設定しただけで、自動運転車が勝手に行きたい場所まで連れて行ってくれるような未来が訪れるかもしれません。
一見すると便利な未来に思えますが、それと同時に、何らかの方法によって知らないうちに設定などを変更しようと企む攻撃者たちにとっても、効率よく攻撃できる時代になっていきます。
セキュリティを高めておかなければ、スマホをハッキングされて目的地を割り出されてしまう可能性もあるでしょう。こうしたリスクを低下させるためにも、会社だけではなく個人個人でのセキュリティ対策を行うことが大切です。
ただし、絶対に安全だという対策は難しいため、パソコンだけではなく、インターネットやBluetoothに繋がる機器は、これらを経由した攻撃のリスクもあるという認識を持っておきましょう。
※次回はオンラインパスワードの作り方や管理の仕方について、石丸さんに詳しくお話を伺います。どれくらい複雑なパスワードにしたら良いのかなど、日常生活で役立つ情報が盛りだくさんのため、ぜひご期待ください。
TEXT:セキュリティ通信 編集部
PHOTO:iStock