昨今、IoT(Internet　of　Things)が多くの注目を集めている。IoTとは、「モノのインターネット」と訳されるが、さまざまなシステムや機器がインターネットにつながることで、これまでになかったサービスが創出されると期待されている。一方で、IoTが普及すればするほど大きな問題となってくるのがサイバーセキュリティーの問題である。

ネットワークカメラも標的に

昨年10月、米国企業が大規模なDDoS攻撃(Distributed　Denial of　Serviceネットワークに接続する複数のコンピューターが特定のコンピューターに対して一斉に大量の通信を行うことで、サービスや機能を停止させようとする攻撃)を受ける被害が発生した。報道によれば、「Mirai(ミライ)」というマルウエア(ウイルスなど悪意のあるソフトウェア)に感染した、ネットワークカメラやルーターなどのIoT機器で構築されたボットネット(外部からの命令で一斉にDDoS攻撃を仕掛けるなど、遠隔操作が可能なマルウエアに感染した機器群)による攻撃であったとみられている。

IoT機器の中には、その機器の利用時に必要となるユーザ名とパスワード(ログイン情報)として、〝root〟や〝password〟といった汎用的な単語を初期設定としている製品がある。「Mirai」は感染したIoT機器を踏み台にして感染拡大を図る際、このような初期設定に利用されるログイン情報で他のIoT機器に侵入を試みる。

そのため、利用しているIoT機器のログイン情報が初期設定のままであると「Mirai」の侵入を許し、感染する。つまり、「Mirai」に感染したIoT機器による大規模なDDoS攻撃を引き起こした背景として、多くのIoT機器でログイン情報が初期設定のまま利用されていたと推察される。 また、海外のウェブサイト上に、ネットワークカメラの映像が公開されていることが判明し、騒ぎとなる事案もあった。

メーカーは利用者に配慮を

いずれの事案においても「IoT機器のログイン情報が初期設定のまま」であったことが主因と考えられる。マルウエアの感染被害を防ぐ、および情報漏えい(カメラ映像の意図せぬ公開など)を防ぐためにも、ネットワークカメラやルーターなどのIoT機器を利用する際には、必ず初期設定を変更することを推奨する。

なお、設定を変更する際にはパスワードは安易なものは避け、可能な限り長く、複雑な設定にし、またパスワードを使い回さないことが重要である。こうしたパスワードの初期設定に関する方法は、例えば大手メーカーもネットワークカメラの推奨設定をウェブで公開するなどの取り組みを行っているので、利用者は確認していただきたい。

一方、IoT機器のログイン情報が初期設定のまま利用されることのないよう、IoT機器のセットアップの過程でパスワードの変更を促すなど、IoT機器の開発、製造に携わる提供者による自助努力も望まれる。このようにIoT機器は今や、使いやすさだけでなく、利用者にとってのセキュリティー対策のしやすさといった配慮も求められている。独立行政法人情報処理推進機構(IPA)ではこのような被害を防ぐため適切なセキュリティー対策が施されたIoT機器が供給されるよう、提供企業向けにデジタルテレビ、ヘルスケア機器、スマートハウスなどのIoT機器のセキュリティー設計について解説した「IoT開発におけるセキュリティ設計の手引き「https://www.ipa.go.jp/security/iot/iotguide.html」を公開している。IoT機器の提供企業はぜひご一読いただきたい。

(独立行政法人情報処理推進機構・江島将和)