IoT機器がサイバー攻撃の足がかりに
IoT機器が社会の一部として機能するようになってきた。IoT機器は、従来の製品やセンサーなどにネットワーク機能を持たせたもので、さまざまなデータを遠隔地から入手することができる。身近なところでは、照明やエアコン、家電製品などがIoT化され、ベッドから出るとカーテンが開いたり、外出先からお風呂を沸かしたりすることが可能になった。
IoT機器を高齢者の見守りに活用するケースも増えている。例えば、IoT冷蔵庫の扉を開く回数をモニターし、一度も開かいない日があると家族に通知するといった具合だ。
こうした活用が社会全体に広がりつつある。工場の生産ラインにセンサーやカメラを設置して、得られるデータから設備の不具合を予測するといったことが、幅広い業種や業界で行われている。さらには、医療機関での検査機器や血圧、血中酸素濃度などさまざまなモニタリング機器、スマートシティやスマートビルディングのモニタや設定システムなど、IoT機器の幅広く存在している。
一方で、IoT機器に対するサイバー攻撃も当たり前のことになってきている。IoT機器の多くはインターネットに接続されているため、逆にインターネットから悪意のある第三者にアクセスされる危険性がある。IoT機器のセキュリティ対策が十分でないと、外部からデータを改ざんされたり、IoTマルウェアに感染させて別のサイバー攻撃の踏み台にされたりする。
IoT機器は社会と密接な関係にあるため、プライバシーや企業活動に影響を及ぼすケースもある。例えば3月には、シリコンバレーのスタートアップ企業であるVerkadaが提供するIoTセキュリティカメラが、ハッカーによる大規模侵害を受けた。ハッカーはIoTセキュリティカメラに存在する脆弱性を悪用し、これらを乗っ取った。その台数は実に15万台に及ぶ。
このカメラには、デバイス上で任意のコードを実行できる脆弱性があった。ハッカーはこの脆弱性を悪用してカメラ上の最高権限を取得し、そこを足がかりに企業のネットワーク内に侵入、カメラのシステムにアクセスしてすべてのカメラの映像を取得できるようにしたほか、アプリケーションやクラウドサービス、ファイルサーバーなどにもアクセスできる可能性があった。
Verkadaのユーザー企業には、Teslaをはじめとする大企業や刑務所、病院、学校などがあり、これらの顧客が設置した15万台のカメラ映像が流出した可能性が高い。それほど大量の映像ファイルがインターネット上に出回っており、今でも見ることができるものも多い。
こうしたIoT機器へのサイバー攻撃は今後も増加すると考えられ、IBMのレポートによると製造業、エネルギー、ヘルスケア分野へのサイバー攻撃は、2020年前年から倍増している。
IoT機器がサイバー攻撃を受けやすい理由
では、なぜIoT機器はサイバー攻撃を受けやすいのか。これには複数の要因が考えられる。
まず、IoT機器はセキュリティを考慮して設計、製造されていないものが多い。IoT機器メーカーは、競合他社に勝つために、より早く製品を市場に出したいと考えているため、IoT機器のセキュリティ対策まで気が回っていないことが少なくない。
また、IoT機器は非常にコンパクトなものが多いため、CPUやメモリー容量に制限があり、そもそもセキュリティ対策を組み込めないケースも多い。さらに、IoT機器のシステムに脆弱性があったとしても、後からそれを修正することも難しい。IoT機器は数年にわたり使用されるものなので、サポート期間が終了して脆弱性が放置されてしまうこともある。
IoT機器が動作しているシステム自体が古いケースもある。セキュリティを考慮して設計されていないレガシーソフトウェアやプロプライエタリソフトウェアの場合は、デフォルトのパスワードやハードコードされたパスワードの強度が弱く、容易に迂回される可能性がある。さらに、セキュリティを考慮されていないネットワーク設計で配備されていることで検知や防御といった制御が困難なことも考えられる。
また、これらのシステムではユーザー、データ、システムの認証機能が十分でない、アクセス制限、ダウンタイムの懸念、システムの再認証の必要性などからソフトウェアの更新やパッチの適用が頻繁に行えないといった問題もある。
重要インフラや製造業などでは、制御(Operation Technology:OT)システムに「Windows XP」や「Windows 7」などの古いOSが使われていることも多い。これらはすでにサポートが終了しており、脆弱性が発見されても修正されない。改修しようにも時間とコストがかかるため、放置されてしまう。しかし、ハッカーはそうしたOSがアキレス腱であることを知っている。