お掃除ロボットが｢盗み見たかも｣しれない秘密 サイバー攻撃が目を付ける｢IoT｣の脆弱性

■利用者も無責任ではいられない

それでは利用者の立場ではどうであろうか。利用者には事業利用と個人利用がある。事業者向けには、一般社団法人日本スマートフォンセキュリティ協会（JSSEC）が公開している「IoTセキュリティチェックシート」が参考になる。最近第2版が公開されたので興味ある方は見てみるとよいだろう。

個人利用では、家庭に設置されるWi-Fiルーターなどインターネットから直接アクセスされる装置のセキュリティが最重要である。とくにWebカメラや一部のオンラインゲームなど、ルーターのポートフォワーディングでインターネット側からアクセスできるようにしてある場合（俗にポート開放と呼ばれる）には、それらのデバイスも脅威の対象となる。推測されにくいパスワードへの変更、最新のファームウェアへのアップデートなど、「野ざらし」に耐えうるセキュリティレベルにする必要がある。

古いデバイスではメーカーのサポートが終了していてアップデートが行われず、脆弱性が残ったままインターネットにさらされているケースもあるので、そうしたデバイスは最新のものに買い替えるべきである。

次節で述べる「NOTICE」による改善勧告が届いた場合には直ちに対応すべきであることは言うまでもない。

■政府主導のセキュリティチェック

2月下旬から総務省の主導で国内のIoT機器を対象とした「NOTICE」と呼ばれるセキュリティ調査が開始されている。具体的には、国内で使われているグローバルIPアドレス（インターネットから直接アクセスできるIPアドレス）を対象として、容易に推測されるID・パスワードが使われていないかを調査するものである。例えば、「password」「1234567」というようなパスワードが設定されていると、注意喚起がなされる。

Wi-Fiパスワードも注意

調査はインターネットを使って行われるため、インターネットに直接接続されるルーターやWebカメラなどが対象となり、家庭内で使用される（ルーターの内側にある）ネット家電は直接の対象とはならない。

Wi-Fiを導入している家庭も多いと思われるが、Wi-Fi接続時のパスワード（暗号キー）も同様に推測されにくいものにすべきである。

Wi-Fiで接続されるそれぞれのIoTデバイスについてもファームウェアアップデートが提供される場合がある。アップデートは頻繁にあるわけではないので、製品のユーザー登録をするなどサポート情報に気づくようにしておくべきであろう。

■利用者に委ねられる最終的なセキュリティレベル

いずれにしても、いかにセキュリティ機能が充実した製品、サービスであっても利用者の意識次第で無意味なものになってしまう。「Mirai」の例のように自分のところへの影響はなくても、ほかのサイトの攻撃に利用される、いわゆる悪の手先化してしまうこともある。インターネットの安全・安心な利用のためには、攻撃を助長するような行為にも配慮が必要である。製品を購入する際も、機能や価格だけではなく、セキュリティ対策やサポート面が充実しているか考慮しなければならない。

また、IoTの製品、サービスは一度導入、設定してしまえば安心というわけではなく、新たな攻撃手法の開発や脆弱性の発見などで、放っておくと次第にセキュリティのレベルは低下していくということも心にとめておくべきである。

著者フォローすると、菅谷 光啓さんの最新記事をメールでお知らせします。