OCN セキュリティ対策（個人・中小企業のお客さま）

セキュリティコラム

マカフィーセキュリティニュース
あなたの家は不用心かも!? 忍び寄る「IoTバックドア」の恐怖

意外なところに広がるリスク

2017年3月、ドイツ製の業務用全自動食器洗い機が搭載したWebサーバー機能に、脆弱性が発見されたとのニュースが話題になりました。本来はネットワーク接続や遠隔操作のために使われる機能ですが、対策がなされるまでは外部から不特定多数のアクセスを呼び込みかねない状況にあったようです。過去にもIoTデバイスを狙ったサイバー犯罪として、監視カメラやビデオレコーダーを乗っ取り、サイバー攻撃の踏み台として悪用した事件が実際に起こっています。さらにIoT時代ならではのリスクはこのようなものにとどまりません。今回は「IoTバックドア」をキーワードに、身近なIoTデバイスを取り巻くセキュリティの現状と近未来について考えてみましょう。

1：家庭のIoTデバイスに、潜んでいるかもしれないリスク

スマホで家の鍵を開け閉めしたり、外出先にいながら冷暖房のスイッチを操作したり……。モノがインターネットとつながる「IoT」機能を搭載した製品が近年人気となっており、2019年までに18億台に達するといわれています。一方でIoTデバイスの増加とともに懸念されるのがセキュリティ面です。IoTデバイスが普及した時代には、どのようなリスクが暮らしの中にあらわれるのでしょうか。いくつかの事例から考えてみてみましょう。

よく報じられているのは、インターネットに接続した「ネットワークカメラ」が外部から乗っ取られるパターンです。乗っ取りを受けたカメラは、サイバー犯罪者によって不正に操作され、家の中の一部始終を筒抜けにしてしまいます。まるで世界に向けて開かれた「のぞき窓」。実際に、世界中の監視カメラの映像に不正アクセスできるロシアのサイトが話題になったこともあります。

またアメリカでの事件のひとつに、子どもを見守るための保育用カメラが相次いで乗っ取られたケースが。我が子の待つ家に帰宅した家族が、音声機能を通して何者かが子どもに話しかけているのを発見したり、場合によってはサイバー犯罪者から罵声を浴びせられたりしたといいます。

こうしたネットワークカメラの乗っ取りは、単なるいたずらでは済みません。犯人は映像を通して、被害者の生活パターンや銀行口座が書かれた書類などを見て、犯罪の手口を練っているかもしれないのです。

また電力供給など生活インフラもIoT化が進むほど、サイバー犯罪のリスクが高まることが指摘できます。近年新築やリフォームをしたご家庭には、スマートメーターが設置されていることが多いのではないでしょうか。家中の電気機器とつながって、電力状況をトータルに制御できる装置で、一度設置すれば何十年と使用することになります。2009年にはプエルトリコで、企業や一般家庭に普及していたスマートメーターのプログラムが、サイバー犯罪者によって不正に書き換えられる事件がありました。この不正プログラムは、請求される電気料金をごまかし、通常の50～75％の割引価格にしてしまうもの。この年に電力当局が受け取るはずの電気料金を激減させて、莫大な損害をおよぼしたといわれています。

サイバー犯罪者がこうやってスマートメーターに不正介入できるとしたら、さらなる悪事に利用することもできます。例えばエネルギーの使用状況データから、各家庭の暮らしぶりや、長期の留守が手に取るように分かってしまうのです。

また事件ではありませんが、自動運転自動車のブレーキ・ハンドル操作を乗っ取ったり、IoT機能が付いた心臓ペースメーカーに外部から介入したり、という実証実験も“成功”しています。暮らしを取り巻くIoTデバイスが増えるほど、予想もしなかった危険が登場してくるでしょう。

そして被害に「気付きにくい」のも、IoTデバイスを狙ったサイバー犯罪の怖さといえます。もし自宅の“IoT冷蔵庫”が乗っ取られていても、中を冷やす機能にさえ異常がなければ、十年後の買い換え時期まで気付かない人は多いでしょう。

2：放置された「バックドア」の危険

さまざまな事例をみてきましたが、IoTデバイスは、不正な侵入を許しやすいのが現状です。警察庁は2017年1月下旬以降、IoTデバイスが発信元と思われるアクセスが増えている、と注意喚起しています。

IoTデバイスが狙われるのは、マカフィーセキュリティニュースでも取り上げたパスワードなど設定の不備のほか、脆弱性――不正な経路でアクセスできるバックドア（裏口）が、特段の対策なしに残されがちであるからです。

次々に新しいモデルが登場する家電製品業界にあって、各メーカーは早いサイクルで売れ筋の商品を開発してきました。しかしIoT機能を搭載する時代になるとすこし事態が複雑になります。"IoTデバイスとして"考えると、家電製品の開発期間は、セキュリティをじゅうぶんに確保するには短すぎるのです。

短期間で開発するために、組み込みシステムのコードライブラリを新しく作るというよりは、汎用の他社製プログラム、10数年前の古いプログラムが採用される傾向があります。しかしそれらのコードライブラリは、既知の脆弱性やサイバー犯罪者が仕込んだ不正コードがそのまま残っている可能性があるのです。

マカフィーでは早ければ2017年中にも、市販のIoT機器に直接埋め込まれた不正コードや、メーカーの枠を超えて広範囲で利用されているライブラリに潜む不正コードが見つかる可能性があると予測しています。つまり、いま店頭や家庭に出回っている家電製品にひそんでいてもおかしくないと考えています。

IoTデバイスを狙ったサイバー犯罪に巻き込まれないために、個人レベルでできる対策は、基本的なセキュリティの見直しに尽きます。まずは、不要なインターネット接続をしないこと。パスワードは初期設定のままではなく、予測しにくいものに設定しておくこと。そしてデバイスのOSやファームウェアのアップデートが可能なら、こまめに実施してください。

遭わなくてすむ不幸な出来事はなるべく避けて、IoTデバイスの便利さを活用していきたいですね。