安全なルーターやネットワークカメラが一目でわかる？IoT製品のセキュリティレベルを｢★の数｣で評価、新ラベリング制度｢JC-STAR｣開始の訳

「今はさすがに当時よりも状況は改善していると思いますが、総務省とNICTが推進する『NOTICEプロジェクト』における最近の脅威観測の結果からも、インターネットから攻撃できるIoT製品が至る所にあることが確認されています。いまだIoT製品に求められるセキュリティ水準と現状との間にギャップがあるのは事実です」

また神田氏は、「IoT製品特有の制約も、利用者によるセキュリティ対策を困難にしている」と指摘する。

「一般的なIoT製品の場合、PCやスマホのように購入後にウイルス対策ソフトを導入するなどのセキュリティ機能を追加することはほぼ不可能です。製品購入時に搭載されている機能か、ベンダーが提供するアップデートによる対策しか利用できません」

そもそもIoT製品を使用する利用者側も、セキュリティに対する意識が高いとはいえない。例えば私たちは、インターネット接続機能を持つ冷蔵庫やテレビといったスマート家電を、従来の家電と同様に「故障していなければ、ケアは不要」といった感覚で扱いがちだ。そのためパスワードの変更やアップデートの実施といったセキュリティ対策の必要性にまで、意識が及ばないことも多い。

感染に気づかないまま攻撃の｢加担者｣に

このようにリスクが放置されやすいIoT製品の脆弱性が原因で、すでに大規模な被害が発生している。アメリカでは2016年にマルウェア「Mirai」に感染したIoT製品がボットネットを形成してDDoS攻撃を実行し、AmazonやGitHub、Twitter（現X）、Netflixなどをはじめ多くの有名なウェブサイトが利用できなくなった。

神田雅透（かんだ・まさゆき）／IPAセキュリティセンター 技術評価部 部長。1993年東京工業大学大学院修了。同年NTT入社。NTT研究所では情報セキュリティ・暗号研究開発に従事し、「Camellia」暗号の開発を担当。2020年IPA入構。暗号政策全般・CRYPTREC事務局、セキュリティ製品認証（JC-STAR、CC認証、JCMVP認証）のマネジメントを担当。2023年より個人情報保護委員会専門委員兼務。平成26年度文部科学大臣表彰（写真：IPA）

また日本で昨年末から年初にかけて相次いで起きた、日本航空や三菱UFJ銀行、NTTドコモなどへのDDoS攻撃も、IoT機器を悪用したボットネットによる同様の攻撃とされている。

悩ましいのは、IoT製品の場合、マルウェアに感染しても利用者が気づきにくいことだ。パソコンであれば感染すると、データが暗号化されて使えなくなる、動作が遅くなるなど、挙動に異常が見られる。

一方、IoT製品では、Wi-Fiルーターにせよ、スマート家電にせよ、基本的な機能は正常に動作することがほとんどだ。そのため利用者は感染に気づかないまま使い続けることになる可能性が高い。

「1台のIoT製品がマルウェアに感染したところで、大きな問題にはなりません。しかし、1人ひとりの利用者が気づかないうちに膨大な数のIoT製品が感染し、ボットネット化すれば、社会機能を麻痺させるような大規模障害が引き起こされます。つまり利用者は、マルウェアに感染した『被害者』であると同時に、意図せず攻撃の一端を担う『加担者』になってしまいます」