インターネット接続デバイスの多くには、初歩的なサイバーセキュリティ対策さえ施されていない。このため、攻撃者はわずか3分程度でデバイスに侵入し、データを盗み出したり、産業スパイを働いたり、物理的な損害を与えるといったサイバー攻撃を仕掛けることが可能だという。
IP接続型のセキュリティシステムや、ネットワーク接続された空調設備に電力メーター、スマートビデオ会議システム、ネットワーク接続プリンタ、VoIP電話、スマート冷蔵庫、さらにはスマート電球に至るまで、さまざまなIoT製品のセキュリティが貧弱であるため、こういった製品を利用している組織のセキュリティにリスクがもたらされていると研究者らは警告している。
ForeScoutの「IoT Enterprise Risk Report」(IoTを利用する企業が抱えるリスクに関するレポート)は、こういったデバイスの危険性について概説している。同レポートは、エシカルハッカー(倫理的なハッカー)であるSamy Kamkar氏によるリサーチに基づいており、その内容はIoT製品ベンダーや、IoT製品を利用している組織にとって頭痛の種になりそうだ。
これらのデバイスは、初歩的なセキュリティすら欠いているために多大なリスク抱えているだけでなく、多くは時代遅れなファームウェアをそのまま使用しているという。このためバックドアを仕掛けたり、IoTデバイスを用いたボットネットによるDDoS攻撃を実施するために容易に悪用できる状態となっている。
これは理論上の話ではない。DNSサービスを手がけるDynを米国時間10月21日に襲い、SpotifyやTwitter、Redditといったサービスをオフラインにしたサイバー攻撃では、IoTデバイスを用いたボットネットが使用されたと考えられている。
こういったデバイスのハッキングは極めて容易であり、数分もあれば十分だ。しかし、その影響は極めて深刻かつ長期に及ぶ可能性がある。
研究者らによると、IP接続型のセキュリティシステムは、建物のセキュリティを高めるために、無線によって他のスマートデバイスとやり取りしているという点でハッカーの攻撃目標となる可能性があり、極めて危険であるという。
ハッカーがこういったデバイスの1つ(こうしたデバイスは工場出荷時の認証情報を使うなどして遠隔地から簡単に制御を奪える可能性がある)に侵入できた場合、犯罪者はセキュリティカメラや出入り口の施錠を無効にし、建物に忍び込むことすら可能になる。
また、ForeScoutの研究者らによると、攻撃者は窃盗行為を働くだけでなく、ネットワーク接続された空調設備や電力計の脆弱性を突き、組織に大きな打撃を与えることも可能だという。
当たり前のことだが、空調設備はネットワークへの侵入に使えるだけでなく、温度設定を操ることにも利用できる。一見、危険そうに思えないかもしれないが、サーバルームをオーバーヒートさせるなどの物理的なダメージを与えて、標的とする企業に損害をもたらしかねない。
また、スマートビデオ会議システムやネットワーク接続プリンタ、VoIP電話などはすべて、ネットワークに接続されているIoT端末として、攻撃者が標的企業の通話を盗聴したり、ネットワークの奥深くに侵入してプライベート情報を盗み出したりするのに格好のゲートウェイになり得ると研究者らは警鐘を鳴らしている。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。