そもそもIoTとは？

IoT（Internet of Things：モノのインターネット）が意味する「モノ（Things）」とは、世の中に存在するあらゆる物体という意味を含んでいる。これまでインターネットに繋がっていたのは、サーバーやパソコン、スマートフォンやタブレットなど、コンピューターや情報端末だったが、これが「ありとあらゆるデバイス」になると理解すればいいだろう。これまで予想もしなかった「モノ」にセンサーが搭載され、インターネットへつながる世界が目の前まできている。

ある調査によると、2014年の国内IoT市場におけるIoTデバイスの普及台数は5億5700万台。これが、2019年には9億5600万台にも達するという。

ひとつの例として、カーナビの進化を見てみよう。従来は車に据え付けられ、単独で動作していたカーナビ。それがインターネットとつながることで、地図情報の更新が簡単になり、ナビゲーション機能とWebサービスの連携も可能となった。

進化はそれだけにとどまらない。インターネット経由で自宅の部屋に設置したカメラにアクセスし、外出先の車中から留守時のペットの様子を確認することや、防犯カメラの映像をチェックできる製品も登場している。カーナビとカメラという一見関係ない機器がインターネットでつながり、あらたな可能性を生み出した。

自動車そのものをインターネットに接続しようという試みもはじまっている。近年の自動車は制御用のコンピューターを搭載している。これをインターネット経由で各種クラウドサービスと接続するわけだ。

駐車場の空車情報を検索し、駐車場までのルートガイドと組み合わせて駐車を自動化するといったことや、人が運転するのではなく、クラウド上の地図情報を利用した「自律走行」の研究も進められている。車の周辺を見ただけでも、あらゆる「モノ」がインターネットにつながり、新たなイノベーションに向けて研究が進められていることがわかる。

従来インターネットへ接続されることのなかった制御機器や業務機器もインターネットを活用し始めた。小売事業者が利用するPOSや金融機関のATMもその例で、従来の専用線に代わって、インターネットを利用するものが増えている。

金融系のシステムは、以前なら専用線やクローズドなネットワークを利用するのが一般的だったが、コストの問題や柔軟かつ高度なサービスを提供するために、インターネット回線へシフト。スマートフォンやタブレット端末のイヤフォンジャックに専用リーダーを接続するだけで、カード決済やPOS端末として利用できるサービスも登場した。

身の回りにもその波が押し寄せている。ウェアラブル端末だ。iPhoneと連携を売り物にした「Apple Wath」をはじめとするリストバンド型端末や、メガネ型の「Google Glass」はご存じだろう。それらを発展させたスポーツウェアやシューズなども今後登場することが予測されている。値札などに応用されている「RFID」といったチップを利用すれば、IoT化できる品物や製品はもっと増えてくるかもしれない。

インターネットとセキュリティはもはや不可分

様々な「モノ」がインターネットにつながることで、我々の生活は便利になり、新しいサービスやビジネスも生まれる。しかしその一方で、インターネットを利用するうえで避けて通れない問題がセキュリティである。インターネットにおいて利便性とセキュリティ上のリスクや脅威は、表裏一体の関係にある。ESETの研究者もIoTはさらに拡大し、これらがサイバー犯罪の標的になると2015年の展望を語っている。

• We Live Security：2015年におけるサイバー犯罪の傾向と予測

インターネットに接続されているとなれば、世界中からアクセスが可能だ。IoTでも、パソコンやスマートフォンと同様にセキュリティ対策が欠かせない。その対策を考える上で、まずは当然ながら、想定されるリスクを明確化する必要がある。IoTに関連したリスクは、情報漏洩や不正アクセスなどのほか、プライバシーの問題もある。この点は、一般的な情報セキュリティと同じだ。

先にも挙げた自動車を例に考えると、「不正アクセス」を受けて侵入された場合、コンピューター制御されているシステムが乗っ取られる可能性がある。ブレーキが突如、効かなくなったり、ハンドルが勝手に操作されたりしまうといったことも起こりえるだろう。

一方、スマートホームなど自宅の空調や照明がインターネット経由で制御可能になれば、攻撃者に遠隔操作されてしまうかもしれない。インターホンやペットの見守りカメラ、Webカメラの映像をスマートフォンで見られるようなサービスを利用している場合、そのサーバーやアカウントが奪われたら、子どもの位置、自宅の様子が第三者に筒抜けとなる。

以上のような、自動車やスマートホームに対するハッキングは、決して未来の話ではない。すでに、多くのセキュリティカンファレンスなどで実際の攻撃デモが公開されている。以下のリンクの通り、ESETのWe Live Securityでもこうした話題をたびたび取り上げている。

これらの攻撃は、自動車や家電の正常な動作を阻害し、場合によっては犯罪やテロなどの破壊行為にもつながるものだ。例えば、インターネットに接続されたカメラのハッキングは、脅迫や別の犯罪で利用される危険性が高い。大規模なテロなどは、いまのところ確認されていないが、今後警戒する必要があるだろう。

すでに金銭を目的としたIoTに対する攻撃も発生している。POSやATMを標的としたマルウェアが発見されており、大量のクレジットカードが漏洩する事件も発生している。金銭など実利のあるものは現実の問題となっている。

• We Live Security：ハッカーがブレーキを無効化しパーソナルデータを盗む手法
• We Live Security：スマートホームセキュリティ、デバイスを守る方法

IoT時代、あらゆるモノがサイバー攻撃の新たな標的に

さて、自動車のアクセルを踏んでもいないのに、遠隔操作によって走り出してしまうようなことが起これば、世間に与えるインパクトは大きい。人命に直接関係するため、実際にセキュリティカンファレンスで実施された同様のデモは、IoTセキュリティの視点でも大きく取り上げられた。とはいえ、まだ車のIoTは実用段階になく、この攻撃を実現させるには、攻撃者が標的の車載コンピューターへ直接攻撃をしかける必要がある。自動車やスマートホームへの攻撃が、現実の問題になるのはもう少し先のことだろう。

では、なぜIoTセキュリティが騒がれているのだろうか。大きな被害は起きていないのはあくまで「いまのところ」であり、予想されている攻撃はいずれ「現実のもの」となると考えられるからだ。

IoTが実現した世界では、従来のPCやスマートフォンよりはるかに、人々の生活に密着した「モノ」が標的となるだろう。そのため、セキュリティの面で危険だとわかっていても、利用を制限したり回避したりすることが困難になるおそれもある。

たとえば、設置が増えているコンビニや街頭の監視カメラ。もしハッキングされ、映像が第三者に漏洩しているとしても、単なる通行人に過ぎない人々は、どれがハッキングされたカメラなのか知り得る手段はない。かといって至るところに設置されている監視カメラを避けて生活を送ることも困難だ。そうして流出した映像が、ストーカー行為や窃盗などへ悪用されてしまうかもしれない。

自動車、POS、ATM、コンビニのキオスク端末、家電製品、衣類、生活必需品も同様だ。利用者側で取れる対策に限りがあるため、機器・システム・インフラに予防措置や対策機能を組み込む必要がある。様々なモノがインターネットにつながる時代は、もはやIoTデバイスだけではなく、様々なモノやシステムが、サイバー攻撃の新たな標的となってしまうのだ。

対策は忘れがちなもっと身近なIoT機器から始めよう

今後、IoTが普及、浸透してくるとパソコンやスマートフォンだけではなく、様々なモノやサービスにおいて、セキュリティ対策を今以上に意識する必要がある。まず目を向けるべき問題は、既存の機器のセキュリティだ。

じつはIoTが話題になる以前から、サーバーやパソコン以外の情報機器、通信機器に対する攻撃が発生しており、実際に被害も出ている。ネットワークプリンターや複合機、ルーター、NAS、IP-PBX、デジタルサイネージを狙った攻撃は何年も前から確認されており、実際の被害も発生しているのだ。またPOSやATMが攻撃対象となっているのは先ほど述べたとおりだ。

これらは専用機器であり一般的なコンピューターと見た目はかなり違うが、中身はLinuxやWindowsを搭載した汎用コンピューターであることがほとんど。ルーターやNASなどをデフォルト設定のままで使っていると、インターネットからこれらの機器に接続できることもある。また、古い製品は、内蔵されたOSやアプリのアップデートが用意されていないことも多く、脆弱性を突かれてしまう。

ルーターや複合機は、マルウェアに汚染され、ボット化したり、別の攻撃の踏み台にされる場合もある。重要な文書を扱うプリンターや複合機などは、機密文書の漏洩につながる可能性も否定できない。

実際に複合機のセキュリティ管理が甘く、内部のデータが流出してしまった事故もある。企業においてIP電話の交換機として利用が進む「IP-PBX」が不正アクセスを受け、多大な通話料が請求されるといった問題も発生している。また盗聴といったリスクもあるだろう。

IoT時代のセキュリティ対策は、まず身近な機器の再チェックから始めたい。