IOTセキュリティ 2

IoT(モノのインターネット化)の勢いが止まりません。インターネットに接続される機器が急速な勢いで増えています。

FacebookTwitterLinkedIn
IoT Security 2

外部から覗き見されるIoT

離れた場所から現地の様子を監視するネットワークカメラ、窓やドアの開閉を検知、制御するホームネットワークシステム、無人でも玄関のドアの開閉を可能にするスマートロック、一人暮らしのお年寄りなどのくらしを見守るセンサー、起きる時間になると自動的に開くカーテン、帰宅する前から室温を上げたり下げたりできるエアコンなど、身の回りには、インターネットに接続できる機器がたくさん増えました。

これらの機器は、インターネットに接続されている以上、世界中の誰からもアクセスできる状態にあるものがほとんどです。

インターネットには様々な目的でたくさんのネットワークカメラが接続されています。街角に設置された防犯カメラ、台風や大雨の際、川の水位を監視する氾濫を予防するためのカメラ、外出時にペットや子供の様子を見守るためのカメラ。

これらのネットワークカメラは、カメラの所有者とはまったく関係のない第三者が映像を見られる状態にあったり、不正アクセスされた事例がたくさんあり、テレビや新聞でしきりに報道されています。

ある報道では、世界中の監視カメラの映像をリアルタイムで表示するサイトが問題になっていること、そして、日本だけでも6000台以上が表示されており、誰でもクリックするだけで見られる状態であると警鐘されていました。

これらの覗き見の原因は、この報道によると、パスワードに問題をかかえる場合が多いです。

具体的には、ネットワークカメラが工場出荷された際に設定されている初期パスワードから変更せずに、もしくは、パスワードを全く設定しないで、ネットワークカメラをインターネットへ接続したことが原因です。

インターネットは世界中とつながっています。ネットワークカメラにも、IPアドレスというネットワーク上の住所となりえる番号が割り振られています。世界中のハッカーがプログラムなどのツールを使って、無作為にセキュリティの弱いネットワークカメラを探しています。

Lock
Lock

工場出荷時に設定され、悪用されやすいログインIDとパスワード 出典: 独立行政法人情報処理推進機構(IPA)

プログラムを使って、ネットワークカメラに向かって、工場出荷時に設定される典型的なログインIDとパスワードを使ってログインできれば、あとはハッカーの思うツボです。ハッカーがそのネットワークカメラの映像を密かに楽しんだり、IPアドレスとログインIDとパスワードを世界中に公開したりなど、ネットワークカメラの所有者の意思とはまったく関係なく機器をコントロールされます。

経済産業省所管で、公的な立場からセキュリティ情報を発信している独立行政法人情報処理推進機構(IPA)では、ネットワークカメラの導入、運用時に気をつけるべき点をまとめた『ネットワークカメラシステムにおける情報セキュリティ対策要件チェックリスト』を発表しました。

プレス発表 統一基準で求められる要件を満たした『ネットワークカメラシステムにおける情報セキュリティ対策要件チェックリスト』を公開

Lock
Lock

具体的には、

・ログ機能を有効にして、カメラに連続してログインを試みる不審な動きを検知できるようにする ・カメラの利用者を管理する
・推測困難なパスワードを設定する
・最新版のファームウェアを適用する

など、基本的ですが見落としがちなことが細かくまとめられています。

このチェックリストの内容は、ビルや施設(工場、倉庫)、河川監視(VPN網)の監視カメラシステムを対象としたもので、家庭用のネットワークカメラを運用する場合には、チェック項目が多すぎると感じるかもしれませんが、これらのチェック項目をつぶしていけば、世界のハッカーから不正アクセスされそうになっても、十分に対応することができます。

今回はネットワークカメラだけを取り上げましたが、その他のIoT機器も同様で、適切に設定していなければ外部から勝手に機器をコントロールされる恐れがあります。

IoTは、パソコンやスマートフォンよりもあとから登場した機器で、一般消費者にとってはなじみが薄く、セキュリティ設定に関してもどのように対応すればよいか戸惑っているかもしれません。イノベーションに社会の対応が追いついていない事例のひとつで、新聞やニュースをにぎわす事件や事故が起きるたびに後追いで対策が充実いくのが実情です。

次回は、ネットワークカメラカメラの覗き見以上に社会に甚大な影響を及ぼしかねないIoTのサイバー攻撃についてみていきます。

関連記事

サイバーセキュリティで AI から企業機密を保護するShare
Apr 2025 | -
サイバーセキュリティ
サイバーセキュリティで AI から企業機密を保護する
このブログでは、AI を悪用した不正侵入から企業資産を守るために、Singtel が提供するサイバーセキュリティソリューションをご紹介します。さらに、プライベートな会話を高度に暗号化することで、いかに従業員の機密性を確保するかについても取り上げます。
従来の防御の先へ:サイバーセキュリティの再考Share
Dec 2024 | -
サイバーセキュリティ
従来の防御の先へ:サイバーセキュリティの再考
企業がデジタルトランスフォーメーション (DX) を加速させるにつれ、サイバー攻撃の巧妙さも増しています。このような脅威と戦うために、企業は先進的なサイバーセキュリティのイノベーションを模索する必要があります。ここでは、通信事業者のデータがそれにどのように役立つかをご紹介します。
MSS とサイバー攻撃からの復旧Share
Oct 2024 | -
サイバーセキュリティ, Japanese, Japan
MSS とサイバー攻撃からの復旧
ソフトウェアのエラーにより発生した大規模な IT 障害の結果として、グローバル企業の脆弱性が露呈しています。では、サイバー攻撃により同様なインシデントが発生した場合、企業は何をすべきでしょうか?最初にすべきなのは、問題の存在を認識することです。以下に、マネージドセキュリティサービス (MSS) がどのように役立つかをご紹介します。