お掃除ロボットが｢盗み見たかも｣しれない秘密 サイバー攻撃が目を付ける｢IoT｣の脆弱性

Miraiとは、日本的な名前のマルウェアだが、作成者としてアメリカ人3人がFBIに逮捕され有罪判決を受けている。Miraiの作成者はすでに逮捕されているが、ソースコードは公開されており、それをベースとしてMiraiの亜種が多数作成されている。中には、ポートマッピングと呼ばれる方法で、インターネットからの通信をルーターの内側に伝達するコードを含むものもある。

■心臓ペースメーカーなどでも発見されている脆弱性

IoTデバイスのセキュリティ侵害はDDoS攻撃だけではない。IoTデバイスは身の回りのさまざまなところで使われている。産業用途や自動車などではデバイスに不正に侵入され操作されると、工場の生産ラインや安全な走行が妨害される可能性がある。また医療やコンシューマー向け製品・サービスの場合には、データの改ざんによる誤動作や遠隔操作、プライバシー情報の流出の恐れがある。

実際に脆弱性も報告されている。医療機器では、アメリカ製心臓ペースメーカーやインスリンポンプのシステムでセキュリティの脆弱性が報告されている。心臓ペースメーカーの例では、デバイスとワイヤレス通信する患者宅に設置される送信機が改変され、ペースメーカーに不正なコマンドを送信することができ、これによって異常動作を引き起こす可能性があるとのことである。この例では製造業者が製品リコールを行いデバイスのファームウェアのアップデートを行っている。

また家電製品では、韓国製のホームデバイス用モバイルアプリに脆弱性が発見された事例があった。同社のモバイルアプリとクラウド上のアプリケーションにセキュリティ設計上のミスがあり、他人が所有者に成りすますことが可能で、冷蔵庫、洗濯機といった家電製品の操作や、掃除ロボットに搭載されているカメラの映像を盗み見ることが可能であった。この例でもメーカーがソフトウェアのアップデートを行っている。

■身の回りに広がるIoT

IoT機器（デバイス）は急速な勢いで増加している。『情報通信白書（平成30年版）』によると世界のIoTデバイス数は、2018年で約310億個（予測値）であり、その後も増加すると予想される。分野・産業別の成長率では、産業用途（30.8%）、自動車（24.0%）、医療（21.9%）の分野で高い成長率が見込まれている（2020年までの予測値）。

コンシューマー向けデバイスも13.6%の成長率であり、今後われわれの身の回りに目に見える・見えないにかかわらず増えていくであろう。

なお「IoT」という言葉の定義はいろいろなものがあるが、本稿では「直接あるいは間接的にインターネットに接続される機器からなる情報インフラ」程度のゆるい定義で用いている。

IoTのセキュリティの考え方

それでは、これらのIoT製品のセキュリティはどうなっているのであろうか。

一口にIoTシステムと言っても、前述のようにいろいろな種類がある。またIoTデバイスの製造業者、IoTデバイスを使ったサービスを提供する業者、ユーザー（企業、生活者）などそれぞれが担う責任・役割も違う。さらに、IoTのシステムはIoTデバイスだけではなく、IoTプラットフォーム、広域通信網、IoTゲートウェイ、IoTエリアネットワークといった複数のコンポーネントから構成されるため、それぞれのレイヤーでセキュリティを考える必要がある。