潜行するサイバー攻撃（第2回） IoT時代の新犯罪

　あらゆるモノがインターネットにつながるIoT（Internet of Things）が注目されている。自動車、ヘルスケア、医療、家電など、産業用から家庭用まで、さまざまな分野でIoTの利用が広がろうとしている。企業はセンサーやWebカメラで収集された膨大なデータを活用し、新たなビジネス創出をめざす。ただ、IoTではこれまで以上に情報セキュリティーの確保が欠かせない。自動車の運転を乗っ取られるといった、まさに“致命的”事態に陥る可能性があるからだ。

ビジネスへの適用範囲が広がるIoT

　IoTの活用例としてよく知られているのが建設機械だ。建設機械にGPSやセンサーを取り付け、使用場所や稼働状況のデータをネットワーク経由で収集。異常を検知して機械の点検・修理につなげたり、普段使用している場所から機械が移動していれば、遠隔操作でエンジンを停止して建設機械の盗難を防いだりする。

　また、工場のプラント設備では、配管にセンサーを取り付ければ、温度や圧力を計測して異常を検知できる。工場の生産ラインにセンサーやWebカメラを設置し、生産性向上のためのデータを収集して分析。業務改革にIoTを役立てる方法もある。

　物流では、トラックにGPSやセンサーを取り付けて、走行履歴で運行管理を行う。急発進や急ブレーキなどの運転データを集め、危険運転の防止にも役立てられる。

乗っ取られたら大変なIoT機器

　IoTへの期待が高まる一方、IoT機器の活用にはネットワークの信頼性と情報セキュリティーの確保が欠かせない。

　例えば、リアルタイム制御が要求される自動車の自動運転では、ネットワークの遅延や停止は許されない。自動運転中にネットワークが遮断されれば、誤ったブレーキ操作で事故が起きるかもしれない。さらに、情報セキュリティー対策が不十分でハッカーに自動運転を乗っ取られれば、故意に事故を起こされたり、誘拐に利用されたりする可能性がある。

　遠隔医療にIoTを活用する場合も、ネットワークの信頼性は欠かせない。遠隔での診療中に画像が途切れれば、的確な治療ができないケースも出てくるだろう。また、医療機器にはカルテ情報や検査画像など、患者の個人データが含まれる。医療情報は究極の個人情報だ。情報セキュリティー対策が甘いと、個人情報が盗まれて悪用される事態も容易に想像できる。

　さらに、製造や流通など産業界でIoT機器が盛んに利用されるようになると、サイバー攻撃による不正操作によって工場の操業がストップしたり、物流がまひしたりして大混乱を招くかもしれない。

IoT機器への攻撃は気付きにくい

　IoT機器の情報セキュリティーには特有の問題がある。パソコンやサーバーと異なり、現状ではセンサーなどのIoT機器にセキュリティーツールを適用するのが難しい。そのため、攻撃されてもなかなか気付かない。マルウエアに感染したIoT機器を、知らずにネットワークに接続してしまうリスクもある。

　オフィスで利用する家電のIoT機器を標的とするサイバー攻撃もある。2017年1月の警察庁の発表によれば、IoT機器を狙ったマルウエア「Mirai」ボットの亜種とみられる感染元からのアクセス急増を観測。Miraiボットは感染したIoT機器を踏み台として、企業のITサービスを妨害する大規模なDDoS攻撃を発生させるウイルスだ。Webカメラやデジタルビデオレコーダーなどのネットワークにつながる機器が狙われているという。

　Miraiボットは、IoT機器の出荷時に標準で設定されているID・パスワードを悪用して感染拡大のアクセスを試みる。そこで、「IoT機器のID・パスワードを推測されにくいものに変更」「ファイアウォールなどで不必要な外部からのアクセスを遮断」「IoT機器の製造元ホームページで脆弱性情報を確認し、ファームウエアを更新」といった対策が必要になる。

　信用できる機関が発行しているガイドラインも役立つ。「IoTセキュリティガイドライン Ver 1.0」（平成28年7月　IoT推進コンソーシアム／総務省／経済産業省）では、IoTセキュリティーの背景や、ネットワーク上での対策を解説している。同ガイドラインを要約した概要版もあるので、一読してはどうだろうか。

　ネットワークの堅牢（けんろう）性を高め、安全にIoT機器を利用できる情報セキュリティー環境が、今後のIoT普及拡大のカギを握ることは間違いないだろう。