身に覚えのない犯罪で自宅に警察が来る。実はこれに類する出来事は過去にも起きていた。12年には、マルウェアに感染し遠隔操作されたパソコンなどから、無差別殺人予告や幼稚園・小学校への襲撃予告が次々に送られた。無関係の4人が誤認逮捕される事件に発展している。
筆者も当時、事件の真相解明に向けてマルウェア解析などで捜査に協力しており、強く記憶に残っている。あのとき狙われたのはパソコンだった。今、同じ構図がパソコンの外にまで広がっている。
先の男性の自宅で乗っ取られていたのは、各家庭にある、インターネットにつなぐための「ルーター」だった。マルウェアと聞けば、パソコンやスマートフォンに感染するものを思い浮かべる人が多い。だが攻撃者が狙う対象は、いまやパソコンだけにとどまらない。
家庭やオフィスの「ネットにつながる機器」そのものを乗っ取る攻撃が、ひそかに数を増やしている。ルーター、防犯カメラ、録画機、テレビに挿す小さな端末。まとめて「IoT」(Internet of Things=モノのインターネット)機器と呼ばれるこれらは、今ではどの家庭にもいくつかはあるだろう。
攻撃の対象は意外なところにまで広がっている。海外では、カジノに置かれた水槽のスマート温度計がハッキングされ、そこを足がかりに顧客データが盗まれた例がある。大学のキャンパスでは、感染した自動販売機やスマート電球が大量の通信を発生させ、学内のインターネットを麻痺させた。
冷蔵庫がスパムメールの発信源になっていたと一部のセキュリティベンダーから報告された例もある。「こんなものまで」と思うような機器が、現にサイバー攻撃に巻き込まれてきた。
◎「こんなものまで?」サイバー攻撃の踏み台やターゲットとなったIoT機器の事例
IoT機器が踏み台や侵入口にされた事例を中心に抜粋。機器自体が直接被害を受けた事例や検証も一部含めた。無防備な機器は被害を受けるだけでなく、踏み台にもされうる(画像:筆者提供)
被害は機器の乗っ取りだけにとどまらない。防犯カメラや見守りカメラの映像がインターネットから覗かれる問題は何年も前から繰り返し報告されており、今この瞬間も多数のカメラが丸見えのまま放置されているとみられる。
25年のある調査では、外部からアクセスできる状態のカメラが国内だけで数千台見つかった。保育園で園児が着替える姿や、自宅のリビングの映像まで含まれていたケースも報じられている。原因はパスワード未設定や公開設定の誤りなど、いずれも入り口が開けっ放しだったことにある。こうした脆弱な機器は、映像を見られるだけでなく攻撃の踏み台にもされうる。
なぜ狙われ、なぜ気づけないのか
IoT機器が狙われるようになった背景には、複数の事情が重なっている。パソコンやスマートフォンの守りは、この十数年で格段に固くなった。一方で、ネットワーク環境は家庭の隅々にまで行き渡り、インターネットにつながる機器の数そのものが爆発的に増えた。攻撃者の目には、守りが手薄なまま大量に放置された機器の群れが映っている。
