公開日: |最終更新日時:
国立研究開発法人情報通信研究機構(NICT)による調査の結果、2022年に観測されたサイバー攻撃関連の通信は5,226億件で、そのうち34.4%がルーターやネットワークカメラなどのIoTデバイスを狙ったものである(最も多い)※ことがわかりました。 IoTデバイスにサイバー攻撃が仕掛けられた場合、どんな被害があるのか、またどんな対策をとればよいのか、IoTデバイスにおけるサイバー攻撃のリスクについて説明します。
参照元:政府広報オンライン(https://www.gov-online.go.jp/useful/article/202005/1.html)
IoTデバイスの多くにはセンサーが搭載されていますが、これを通じてインターネット等のネットワークにつなげられています。たとえば、防犯や遠隔監視に使われるネットワークカメラもそのうちの一つです。IoTデバイスは、機能が最小限にのみで長期間の使用が多く、管理が行き届きにくいという面があり、そのためサイバー攻撃の標的になってしまう現状があります。
また、ネットワークカメラだけでなく、ルーター等も攻撃の標的になります。攻撃者は、IoTデバイスに組み込まれているソフトウェアの脆弱性を突きマルウェア感染させることで、遠隔操作できるように仕組むのです。遠隔操作できるようになった機器は、大量のパケットを送信し、相手のサーバーやネットワークへ膨大な負荷をかけてダウンさせる、DDoS攻撃などに使われます。ネットワークが攻撃対象となりハッキングされてしまうと、映像や画像をネット上に勝手に公開されてしまうこともあります。
このような攻撃によく使われるのは「Mirai(ミライ)」というマルウェアです。Miraiは、ランダムに検出したIPアドレスへの接続を試み(つまり、デフォルト設定されている確率の高いIDとパスワードを総当たりでログインを試み)感染先を探すので、その対象にIoTデバイスが狙われやすくなっています。IoTデバイスに感染すると、「ボットネット」と呼ばれる遠隔操作可能な状態のネットワークに構成されてしまいます。ボット(ゾンビ)化した多数の機器を使って、ターゲット企業に対し、一斉に集中攻撃するというものです。
加えてMiraiのコードは世界中で公開されている厄介な特徴もあり、改造してより巧妙な手口での感染を目論む「亜種」の存在も確認されています。感染を防ぐうえでキーとなるのはIDとパスワードの複雑性ですので、管理体制を意識するだけでも、リスク低減につながるかもしれません。
サーバーレンタル業を営むフランスの事業者は、保有サーバーが、14万台以上ものIoTデバイスによるDDoS攻撃を受けました。これにより、最大で1Tbpsを超える過去最大級の攻撃トラフィックが観測されたとのことです。
顧客の家庭用ルーターが、Miraiまたはその亜種に感染させられる恐れがありました。このとき全ユーザーの4~5%にあたる約90万人に、ソフトウェアの停止や制限を受けるといった影響が出ました。
ロシアのとあるWebサイト上で、国内の約6,000台のカメラ映像を含む世界中の監視カメラの映像が公開されていることが発覚。これらの映像はID・パスワードが設定されていない、もしくはデフォルトのままになっているネットワークカメラのものだったそうです。
日本では法律上、個人情報の漏えいがなければ関係省庁への報告義務がないので、実際に公表されているインシデント事例は一部ですが、工場のサーバーやPCにマルウェア感染をして操業停止した事例が複数報告されています。また、品質管理の測定装置がマルウェア感染し、「不良な品質の製品が勝手に出荷された」という事例の報告もあります。
IoTデバイスへのサイバー攻撃は、ファイヤーウォールやウイルス対策ソフトをインストールするだけで防げるものではありません。
日本では、経済産業省と総務省が「IoTセキュリティガイドライン」を、システム提供者とシステム利用者向けそれぞれに公開しており、IoTデバイスへのサイバー攻撃がこれまで以上の甚大被害をもたらす危険性があることを注意喚起しています。
このガイドラインでは、IoTセキュリティにおいては「トップダウン型の、社を挙げての対策」が推進されています。サイバー攻撃の種は外部からではなく、社内から蒔かれることもあります。内部不正によるリスクを下げることは、サイバーセキュリティ強化には欠かせないポイントです。
さらに、機器の設計、構築・接続、運用・保守の各フェーズで留意すべきポイントについても記載されており、IoTデバイスを提供する側が攻撃に対して強い製品をつくることも重要視されています。 そして利用者側は、セキュリティ対策の万全なものをしっかりと見極め、なるべくアップデート機能付きで最新状態を維持できるものを選ぶことが大切です。 また、パスワードは複雑なものにして定期的に更新するなど、日々の心がけも忘れずにおこないましょう。
IoTデバイスへのペネトレーションテスト実施ベンダーを確認する
ペネトレーションテストでは組織のセキュリティレベルを評価でき、IoTデバイスに対するサイバー攻撃を想定したテストを実施することも可能です。IoTデバイスへのサイバー攻撃は、その巧妙性がどのように変化していくのか予測はできませんが、日頃から最新のセキュリティ情報に注意を払い、新しい脅威が現れたときにも速やかに対応できるよう準備しておくとよいでしょう。
本メディアでは得意な領域ごとにおすすめのペネトレーションテストベンダーを紹介しています。ペネトレーションテストの依頼を検討されているご担当者はぜひ参考にしてください。
ここではサイバー攻撃の標的として狙われやすい「製造業」「金融機関」「IoT」の3つの中から、それぞれのおすすめの理由とともにおすすめの企業を紹介します。
