日商 Assist Biz

更新

企業を襲うサイバー脅威 IoT機器への攻撃

IoT機器への攻撃

今月は、IoT機器への攻撃について取り上げます。「IoT(Internet of Things)機器」とは、デジタルビデオレコーダーやネットワークカメラ、家庭やSOHO用ブロードバンドルーターなどのインターネットに接続している家電や機器などのことです。

2016年1月ごろ、海外のウェブサイト上に、ネットワークカメラの映像が意図せず公開されていることが判明し、テレビや新聞などでも大きく取り上げられました。つまり、ネットワークカメラの映像が覗き見され、不特定多数の人たちに見られるようになっていたのです。そして、同年11月、このIoT機器に感染する「Mirai」と呼ばれるウイルスが世界的にまん延しました。「Mirai」は感染したIoT機器を踏み台にして感染拡大を図る際、初期設定(デフォルト設定)に利用されるログイン情報で他のIoT機器に侵入を試みます。

IoT機器の中には、利用時に必要となるユーザIDとパスワード(ログイン情報)として、「password」のような推測されやすいものを初期設定としている製品があります。そのため、利用しているIoT機器のログイン情報が初期設定のままであると、「Mirai」の侵入を許し、感染してしまう可能性があります。

ネットワークカメラの画像の覗き見・流出の件、そして「Mirai」での感染の件はともにIoT機器を利用する際、ログイン情報を変更していなかった、つまり初期設定のままであったことが原因と考えられています。そのため、IoT機器を利用する際には、必ず初期設定を変更して使用することが必須の対策となります。また、この連載の「パスワード解読」の回で触れたとおり、推測されやすいパスワードを設定することは避け、そしてパスワードを使い回さないことが重要です。

今後も、「Mirai」の感染対象となった家電や機器以外にも、デジタルテレビ、ヘルスケア機器、スマートハウスなどのさまざまなIoT機器がサイバー攻撃の対象となると考えられます。今回取り上げた機器だけではなく、現在ネットワークに接続されている機器や今後接続される機器は、何らかのセキュリティ対策が必要になると考えなければなりません。

長谷川長一(はせがわ・ちょういち) ソフトバンク、日本ユニシスを経て、株式会社ラックに入社。情報セキュリティ業界の先駆者として知られる同社で現在は、主にセキュリティ教育業務を担当している。『CISSP-行政情報セキュリティ公式ガイドブック』(アスキー出版)や『情報セキュリティ監査公式ガイドブック』(日科技連出版社)など著書多数

次の記事

長谷川長一

今月は、スマートフォン(スマホ)やタブレットの不正アプリについて取り上げます。スマホやタブレットなどの携帯端末はここ数年で急速に普及し、今や業務でも生活でも欠かすこ…

前の記事

長谷川長一

今月は、ネットワーク通信での「盗聴」について取り上げます。「盗聴」とは、PCやスマートフォンなどでのネットワーク通信に第三者が割り込み、その通信内容を盗み見る(盗み取…

関連記事

長谷川長一

今回は人的脅威の中の非意図的なもの、「ヒューマンエラー」について取りあげます。「ヒューマンエラー」には、「誤操作」「設定ミス」「紛失・置き忘れ」「盗難」などがありま…

長谷川長一

今回は人的脅威の中の“意図的脅威”である情報セキュリティー上の「ルール違反」について取りあげます。「ルール違反」は、前回取り上げた「内部不正」と比較すると、軽いものと…

長谷川長一

今月からは、企業内部の人的脅威について取り上げます。情報セキュリティーにおける人的脅威には、意図的なものと非意図的なものがあります。まず今回は人的脅威の中でも意図的…