お掃除ロボットが「盗み見たかも」しれない秘密 サイバー攻撃が目を付ける「IoT」の脆弱性

著者フォロー
ブックマーク

記事をマイページに保存
できます。
無料会員登録はこちら
はこちら

印刷ページの表示はログインが必要です。

無料会員登録はこちら

はこちら

縮小

■利用者も無責任ではいられない

それでは利用者の立場ではどうであろうか。利用者には事業利用と個人利用がある。事業者向けには、一般社団法人日本スマートフォンセキュリティ協会(JSSEC)が公開している「IoTセキュリティチェックシート」が参考になる。最近第2版が公開されたので興味ある方は見てみるとよいだろう。

個人利用では、家庭に設置されるWi-Fiルーターなどインターネットから直接アクセスされる装置のセキュリティが最重要である。とくにWebカメラや一部のオンラインゲームなど、ルーターのポートフォワーディングでインターネット側からアクセスできるようにしてある場合(俗にポート開放と呼ばれる)には、それらのデバイスも脅威の対象となる。推測されにくいパスワードへの変更、最新のファームウェアへのアップデートなど、「野ざらし」に耐えうるセキュリティレベルにする必要がある。

古いデバイスではメーカーのサポートが終了していてアップデートが行われず、脆弱性が残ったままインターネットにさらされているケースもあるので、そうしたデバイスは最新のものに買い替えるべきである。

次節で述べる「NOTICE」による改善勧告が届いた場合には直ちに対応すべきであることは言うまでもない。

■政府主導のセキュリティチェック

2月下旬から総務省の主導で国内のIoT機器を対象とした「NOTICE」と呼ばれるセキュリティ調査が開始されている。具体的には、国内で使われているグローバルIPアドレス(インターネットから直接アクセスできるIPアドレス)を対象として、容易に推測されるID・パスワードが使われていないかを調査するものである。例えば、「password」「1234567」というようなパスワードが設定されていると、注意喚起がなされる。

Wi-Fiパスワードも注意

調査はインターネットを使って行われるため、インターネットに直接接続されるルーターやWebカメラなどが対象となり、家庭内で使用される(ルーターの内側にある)ネット家電は直接の対象とはならない。

Wi-Fiを導入している家庭も多いと思われるが、Wi-Fi接続時のパスワード(暗号キー)も同様に推測されにくいものにすべきである。

Wi-Fiで接続されるそれぞれのIoTデバイスについてもファームウェアアップデートが提供される場合がある。アップデートは頻繁にあるわけではないので、製品のユーザー登録をするなどサポート情報に気づくようにしておくべきであろう。

■利用者に委ねられる最終的なセキュリティレベル

いずれにしても、いかにセキュリティ機能が充実した製品、サービスであっても利用者の意識次第で無意味なものになってしまう。「Mirai」の例のように自分のところへの影響はなくても、ほかのサイトの攻撃に利用される、いわゆる悪の手先化してしまうこともある。インターネットの安全・安心な利用のためには、攻撃を助長するような行為にも配慮が必要である。製品を購入する際も、機能や価格だけではなく、セキュリティ対策やサポート面が充実しているか考慮しなければならない。

また、IoTの製品、サービスは一度導入、設定してしまえば安心というわけではなく、新たな攻撃手法の開発や脆弱性の発見などで、放っておくと次第にセキュリティのレベルは低下していくということも心にとめておくべきである。

菅谷 光啓 NRIセキュアテクノロジーズ フェロー

著者をフォローすると、最新記事をメールでお知らせします。右上のボタンからフォローください。

すがや みつよし / Mitsuyoshi Sugaya

1991年 野村総合研究所入社。情報技術調査部門において、情報セキュリティに関するコンサルティングに従事した後、2000年NRIセキュアテクノロジーズ設立と同時に同社に出向。2006年同社取締役。2015年同社フェロー。本業と並行して金融ISAC代表理事、日本セキュリティ監査協会副会長、東京工業大学特定教授などを歴任。博士(工学)。専門はマネジメントセキュリティ、情報セキュリティ監査、情報セキュリティ政策、標準化など。

この著者の記事一覧はこちら
ブックマーク

記事をマイページに保存
できます。
無料会員登録はこちら
はこちら

印刷ページの表示はログインが必要です。

無料会員登録はこちら

はこちら

関連記事
トピックボードAD
ビジネスの人気記事