IoTに求められるセキュリティ対策とは?サイバー攻撃事例も合わせて紹介!
2023.10.09更新
高収入も可能!機電系エンジニア求人はこちら ▶この記事を書いた人
FREE AID編集部 機電系専門ライター Div.
アナログ回路設計・営業を経験した後ライター&ディレクターとして独立。
電気電子・ITジャンルを得意とし、正確で分かりやすい情報の発信を行っています。
IoTは「モノのインターネット」として存在感を日々高めていますが、IoTを使いつつもセキュリティ対策を行っていない方は多いのではないでしょうか。そこで本記事では、IoTがセキュリティ対策を行う重要性や、過去のサイバー攻撃の事例、主となる対策方法などについて解説します。
IoTにおけるセキュリティ対策がなぜ重要なのか
まず、なぜIoTにおいてセキュリティが重要となるのでしょうか。その原因としては、IoTが持つ本質的な脆弱性もありますが、何より爆発的な普及に対してセキュリティ対策が追い付いていないことが挙げられます。
IoTの普及は急速に進んでいる
IoTという単語は1999年に登場しましたが、最近になって急速に普及が進み始めました。総務省の統計によると、世界中のIoT機器の総数は2016年に173億台だったのに対し、2023年には340億台と、約2倍に増えることが予測されています。
元々は通信業界やコンピュータに多数使われていましたが、最近では工業用途での利用が急速に広まっているほか、スマートホームやコネクテッドカーなど、生活と密接に関わる用途でも活用され始めました。
社会インフラなども含め、これまで以上に安全・安心が求められる分野にIoTが導入され始めたため、情報漏洩やハッキングを防ぎ、リスクなくIoTを使うためのセキュリティ構築が急務となっています。
セキュリティシステムの構築は発展途上
このように、セキュリティ対策は急務となっているものの、セキュリティ対策は発展途上で、多数のサイバー攻撃に無防備なままさらされているのが現状です。
IoTが普及するスピードが速く、セキュリティ対策への意識が追い付いていないのも理由ですが、IoTのセキュリティ対策がパソコンやスマートフォンのセキュリティ対策をそのまま流用できず、対策が難しいという問題もあります。
そのため、日本では経済産業省・総務省が進めるサイバーセキュリティ戦略において「IoT セキュリティガイドライン」が発行されており、官民を挙げてIoTのセキュリティ対策を進めています。
IoTのセキュリティ対策が難しい理由
パソコンやスマートフォンなど、インターネットのセキュリティ対策が確立しているにも関わらず、なぜIoTについては対策が難しいのでしょうか。その理由を解説します。
ソフトウェアがウイルスに対し脆弱
IoTはパソコンなどと異なり、データ収集と通信機能があればよいので、CPUは最低限のスペックしか持っていません。ソフトウェアのリソースも非常に少なくなるため、ソフトウェアも最低限のものしか搭載できなくなります。
すると、強固なセキュリティを実装する余裕がなくなるので、本質的にウイルスに対して脆弱になるのです。IoTは長期間にわたって使用されるため、新製品への置き換えによる抜本的な改善も難しく、脆弱なソフトウェアを抱えたまま対策を講じ続ける必要があります。
セキュリティ対策ソフトが入れられない
IoTはソフトウェアのリソースが少ないため、セキュリティ対策ソフトを入れられないのも問題です。パソコンなら、たとえソフトウェアに脆弱性があってもセキュリティ対策ソフトによって脆弱性の改善、ウイルスの発見と除去を行えますが、IoTではその対策が取れません。
IoT機器ごとにセキュリティ向上の対策が必要となり、さらにウイルスの監視も行わなければならないため、対策のハードルが一気に高くなります。
ユーザーのセキュリティ意識が低い
最後に、ある意味IoTが持つ最も大きな問題点は、IoTに対してセキュリティ意識を持っている人が少ないことです。パソコンに対するセキュリティ意識は高い傾向がありますが、IoTは多くの場合、コンピュータとして認識されていません。
セキュリティ対策を行わず不用意にインターネットに繋いだり、初期状態のユーザーID、パスワードを使っていたりと、基本的な対策すら行わず放置されているIoTが多いため、ウイルスに感染してさまざまな問題を引き起こしています。
IoTは導入数が多く管理も大変ですが、基本的なセキュリティ基盤を構築してからネットワークに繋ぐなど、セキュリティに対する意識を広めていく必要があります。
IoTに対するサイバー攻撃の事例
実感の湧きにくいIoTのセキュリティリスクですが、既にさまざまな被害が発生しており、社会的な問題としても話題を集めています。ここからは、IoTにおけるセキュリティの脆弱性を利用して、どのようなサイバー攻撃が行われてきたかを解説します。
Mirai
IoTへのサイバー攻撃で最も有名なウイルスは「Mirai」というマルウェアです。2016年に登場したMiraiは、IoTへのウイルス感染を通じて、TwitterやAMAZONなど誰もが知っているWebサービスをアクセス困難な状況に陥れたことで、一躍有名になりました。
Miraiの特徴は、セキュリティが脆弱なIoTに爆発的な勢いで感染することと、感染したIoTを攻撃用のマシンとして不正に使い、二次的な被害を生み出すことです。Miraiの基本的な感染手法は以下の通りです。
①初期パスワードを使っているIoTに感染
Miraiは、インターネット上でランダムにIoTを検索し、ログインできるかを試します。ID、パスワードには、メーカー出荷時に良く設定される初期パスワード(root/adminなど)を総当たりで入力します。IoTにログインできたら、ウイルスをダウンロードして感染させます。この時、IoTの動作には大きな影響を与えないので、感染したことを把握するのは難しいです。
②IoTへの二次感染を試行
Miraiに感染したIoTは、自身がつながるネットワークを検索し、他にログインできるIoTがないかを探します。この方法で新しくMiraiに感染したIoTは、同様に周りのIoTへのログインを試すので、雪だるま式にMiraiへの感染が広がっていきます。
③IoTをDDoS攻撃に使う
Miraiの最も悪質な所が、感染したIoTをDDoS攻撃の踏み台として利用することです。DDoS攻撃は、Webサービスに多数の同時アクセスを行い、サーバーダウンを誘発するサイバー攻撃です。Miraiに感染したIoTは、管理端末の操作によって一斉に、標的となるサーバーにアクセスを行うようにプログラムされています。そのため、感染したIoTが加害者としてサイバー犯罪を起こすこととなります。
BrickerBot
Miraiと同様の手法で、IoTを踏み台にするのではなく、そのIoT自体を破壊してしまうのがBrickerBotです。このウイルスは、初期パスワードのまま使われているIoTに侵入し、ファームウェアを書き換えます。
通信速度を極度に遅くしたり、ストレージ内のファイルを削除するなど、動作に必要な機能を改変することで事実上IoTが動作しなくなってしまいます。踏み台攻撃のような二次被害こそ発生しませんが、IoTのユーザーにとっては致命的なダメージを受けるでしょう。
Miraiは2016年10月にソースコードが公開されたため、BrickerBotのようにMiraiの亜種とも呼べるウイルスが多数生まれています。他にも、情報の盗難やIoT機器そのもののハッキングなどさまざまなサイバー攻撃が行われており、リスクは日々高まっているといえます。
セキュリティ対策の方法
高まるIoTのセキュリティリスクに対し、どのような対策を行えばよいのでしょうか。特に重要なセキュリティ対策の方法についてお伝えします。
扱っているIoTの管理を徹底する
まず重要となるのは、導入したIoTの管理を徹底することです。IoTは導入数が非常に多いため管理が行き届かず、初期パスワードのまま使われたり、管理期限が切れたまま放置されたりする原因となっています。
現状、基礎的なセキュリティ対策を行うだけでも多数のサイバー攻撃を防げるので、初期パスワードの変更、使い終わったIoTの廃棄などの徹底が非常に重要です。
ファームウェアを都度更新する
最近は、IoTメーカーのセキュリティ対策も進んできており、ファームウェアの脆弱性は日々新たに発見され、修正パッチによって対策されています。修正パッチはメーカーが配布しているので、ファームウェアの更新状況を確認し、速やかに自社のIoTに適用することがセキュリティ対策につながるでしょう。
ネットワークを最適化する
IoT本体だけでなく、ネットワークの最適化もセキュリティ対策には欠かせません。インターネットの経路全てにおいて、サイバー攻撃を受けるリスクはあるため、通信の暗号化や認証機能の追加、改ざんの検知など、さまざまな対策が行えます。
IoTとインターネットの間にセキュア化されたゲートウェイを入れてセキュリティを高める手法も効果的です。また、IoTの使用方法によっては、インターネットではなくローカルネットワークで事足りるかもしれません。
ただ漫然とインターネットに接続するのではなく、セキュリティ面を検討してからIoTを使うようにしましょう。
まとめ
今回は、IoTのセキュリティに関して、IoTが持つ脆弱性とサイバー攻撃の事例、主な対策方法などをお伝えしました。最近は、IoTの急速な普及にセキュリティ対策が追いついておらず、さまざまな問題が発生しています。対策方法も多岐にわたりますが、基本的な対策を行うだけでも大きな効果が見込めるため、IoTを使う前に対策を検討してサイバー攻撃を防ぎましょう。
高収入も可能!機電系エンジニア求人はこちら ▶
機電系求人はこちら
-
FPGAの設計開発
-
- 単価
-
70~80万円
-
- 職種
- 電気電子設計
- スキル
- ・FPGA論理設計、RTLコーディング、論理検証環境構築、論理検証・RTLコード:VHDL・論理検証ツール:Siemens製Questa/ModelSIM
- 地域
- 東京
- ポイント
- #高単価
-
詳細を見る
-
-
UI画面の設計業務
-
- 単価
-
64〜万円
-
- 職種
- 開発
- 電気電子設計
- スキル
- 必要スキル: ・電源回路は複数回経験し、設計動作確認など、一人でもある程度やるべきことが分かる。 ・数十頁のデータシートを読み、要求仕様(タイミング/電圧など)が理解できる ・その他左記の回路の種類の中で、回路設計の実務経験が1回以上ある。 ・回路修正ができる(半田付け、ジャンパー処理)
- 地域
- 関西
- ポイント
- #業務委託#駅近
-
詳細を見る
-
-
【急募】工作機械メーカーにおける自社製品の制御設計
-
- 単価
-
40~50万円
-
- 職種
- 電気電子設計
- スキル
- 基本的なPCスキル産業用機械・装置の電気設計経験
- 地域
- 山梨県
- ポイント
- #業務委託
-
詳細を見る
-
-
DC/DCコントローラ開発のアドバイザー(副業可能)
-
- 単価
-
20~30万円
-
- 職種
- 電気電子設計
- スキル
- アナログ回路知識測定器操作
- 地域
- 東京
- ポイント
- #ベテラン歓迎
-
詳細を見る
-
