パソコンであれば、ウイルス対策ソフトも導入でき、OSは自動で更新され、毎日電源を入れ直す機会もある。日常的に触れる機器だからこそ、守る手段も、おかしさに気づくきっかけも持ちやすい。
IoT機器では、こうした保護手段が乏しい機種が多い。攻撃者にとっては、安定した攻撃インフラに仕立てやすい格好の「盲点」だ。
弱点を整理すると、おおむね次の4つに集約される。(1)画面がなくセキュリティ対策ソフトも入れにくい。異変に気づく手がかりがそもそも乏しい。(2)基本ソフト(ファームウェア)の更新が自動で行われない機種が多く、欠陥が放置されやすい。サポートが終わった古い機器には更新自体が届かない。(3)24時間電源が入り、常にインターネットに接続されていて、攻撃者にとっていつでも手が届く状態にある。(4)利用者が中の設定を確認する機会がほとんどなく、異変にも長期間気づかない。
攻撃者はインターネットを機械的にスキャンし、こうした弱点を抱えた機器を探し出す。ユーザーの操作は必要なく、探索も侵入も自動で進む。自己拡散するタイプのマルウェアでは、乗っ取られた機器が次の標的を自ら探しに行き、被害はねずみ算式に広がる。
乗っ取られた機器は何に使われるのか
では、乗っ取った機器を攻撃者はどう使うのか。最も多いのが、大量の機器を一斉に操って特定のサイトやサービスへ膨大な通信を発生させ、つながりにくい状態に追い込む攻撃だ。何百万台が同時に押し寄せれば、標的のサービスは止まる。
26年3月、アメリカ・ドイツ・カナダの捜査機関が連携してこうした攻撃網を摘発した。感染していた機器は300万台を超え、その大半は録画機やカメラ、ルーターなどのIoT機器だったという。
もう1つ深刻なのが、乗っ取った家庭の回線を経由して通信する「権利」を、別の攻撃者に売り渡す手口である。「レジデンシャルプロキシ(住宅用プロキシ)」と呼ばれ、犯罪インフラとして定着しつつある。国内では、この仕組みがインターネットバンキングの不正送金に悪用されるケースも多くみられる。
学校に設置されたエアコンの制御端末や、店頭でよく見かける検温カメラが踏み台にされた事例もあり、知らぬ間に犯罪に関与してしまうリスクはすぐそばにある。冒頭の男性のルーターも、その1台だった。
悪用の裏には、国家の影も見え隠れする。26年4月には、英国のサイバーセキュリティ機関が日本やアメリカを含む各国の機関と連名で、このレジデンシャルプロキシの手口への警告を出した。中国を背景とする集団が、各国の家庭用ルーターやカメラを乗っ取り、正体を隠す通信網に仕立てているという。
