家庭のルーターはサイバー犯罪者の標的になる
スマートフォンやPCを使うとき、オンラインで利用しないというケースはめずらしいだろう。インターネットにつなぐのは当たり前の時代、ルーターを保有している家庭も多いはずだ。
しかし、セキュリティ意識が必ずしも高くない環境で利用されている家庭用ルーターは、悪意のある人間にとっては標的にしやすいもの。第三者にルーターを不正利用され、踏み台にされてしまうサイバー犯罪もあることに注意が必要だ。
総務省、国立研究開発法人情報通信研究機構(NICT)、一般社団法人ICT-ISACが運営する、IoT機器のセキュリティ対策向上プロジェクト「NOTICE」(National Operation Towards IoT Clean Environment)をご存知だろうか。
NOTICEでは、家庭のルーターやネットワークカメラなどIoT機器の安全啓発のための動画を、YouTubeの総務省動画チャンネルで公開している。
その中には「ゾンビルーターになる前に」という動画がある。遠隔操作でPCやIoT機器などを悪用するプログラム「ボットウイルス」により、ルーターがハッカーに操られる“ゾンビ”ルーターになることを警告する内容だ。
そのような手口でルーターがサイバー犯罪者に悪用されることで、ボットネット(コンピューターウイルスなどによって多くのパソコンやサーバに遠隔操作できる攻撃用プログラム=ボットを送り込み、外部からの指令で一斉に攻撃を行わせるネットワーク)を形成されてしまうこともある。
ルーターは目に見えない「無線」で利用する機会も多いため、サイバー犯罪の被害にあっても、なかなか気づきにくい。被害にあってしまうと、業務上の機密情報を保存した端末を自宅のネットワークに接続することで、仕事で情報漏洩が発生するリスクも考えられる。
スマートフォンやPC自体のセキュリティと比較すると、意外と見過ごしがちなルーターのセキュリティ。だからこそ、日頃からの対策が肝心といえる。
パスワードは初期設定のままにしておかない
そのようなルーターが悪用される犯罪について、どのように対応すればよいのか。
まず、ルーターのパスワードを初期設定のものから変更すること。初期状態の場合、パスワードは「admin」などの単純な文字列になっていることもある。英大文字、英小文字、数字、記号を含めた複雑なものに変更しよう。
ルーターのファームウェアを最新の状態にすることも大切だ。バグなどによる問題が発生した場合、メーカーはすぐに対応し、アップデートやパッチなどをリリースすることが大半。ファームウェアを最新のものにしておくことは、リスクを未然に防ぐことにつながる。
また、サポートが終了したルーターは買い替えを検討する手もある。メーカーのサポートが終了したルーターは、機器の問題を改善するためのファームウェアの更新がされないことが多いため、セキュリティリスクが高いからだ。
その上で、見覚えのない設定変更がなされていないか定期的に確認すること。ルーターの管理画面で、見覚えのないVPN機能設定やDDNS機能設定、インターネット(外部)からルーターの管理画面への接続設定の有効化がされていないかなどを確認する。
見覚えのない設定の変更があった場合は、まずルーターを初期化。ファームウェアを最新のものに更新してから、ルーターのパスワードを複雑なものに変更しておきたい。
セキュリティ ソフトウェアを使用し、デバイスや個人情報を保護するのは基本。ルーターだけでなく、各サービスやSNSのパスワードも、単純なものはNGだ。パスワードやSMSコード、パスワードや指紋認証など、異なる認証要素の2つを組み合わせる二要素認証に対応しているサービスも多いので、あわせて設定しておきたい。
スマートフォンやPCなど、インターネットにつながる機器が家庭の中に増えていけば、同一のネットワーク内でマルウェア(悪意のあるソフトウェア)が感染していく可能性もある。よく使うルーターだからこそ、セキュリティには注意しておきたい。
今回はMcAfee Blogから「自分達にもできる!IoTデバイスを狙うサイバー攻撃を回避するためのセキュリティ対策」を紹介しよう。(せきゅラボ)(せきゅラボ)
※以下はMcAfee Blogからの転載となります。
自分達にもできる!IoTデバイスを狙うサイバー攻撃を回避するためのセキュリティ対策:McAfee Blog
ほんの少し前までは、「オンライン上でのセキュリティ対策が大事!」と言われても、多くの人にしてみれば、それは専門家の仕事で一般人にはあまり関係がないという認識でした。しかし、ここ10年程でテクノロジーが急速に進化し、IoT技術の登場と比例してオンライン上での脅威も増加し、セキュリティ対策は私達の生活の中でもより身近な存在になりました。
現在、家庭の電力を制御するスマートメーターや車のスマートキー、そしてスマートウォッチなど、「IoT」(モノのインターネット)を活用した製品などはもはや珍しいものではなく、この数年で私達日本人の生活の中にすっかり浸透しています。このように身の回りのデバイスと様々なモノがインターネットに繋がることで、生活から医療、公共サービスまで幅広い分野で、これまではなかった便利なサービスが誕生しています。
しかし一方で、これらの新しいサービスを狙うサイバー犯罪者や悪用した事件も起きており、警察や各企業は対策に頭を悩ませています。今回はここ最近、身の回りで起きているIoTに関連した犯罪事例を中心にご紹介し、自分達にもできる対策を解説していきます。
近年、増え続ける様々なオンライン上での犯罪
近年、テクノロジーの発展とともに私達の生活はより便利になっていますが、オンライン上では次々と新たな犯罪手口が見出され、被害も増加の一途を辿っています。
例えば、大手企業や銀行を装ってフィッシングメールを送りつけてクレジットカードや銀行口座情報を盗んだり、SNS上で他人になりすまして友人にアプローチして詐欺を働いたりする手口は一般的にも知られています。また、セキュリティ面が脆弱なカフェや駅など公共のWi-Fiにマルウェアやウイルスを仕掛け、Wi-Fiに接続した人の個人情報などを盗む手口は日本全国で頻繁に起こっています。
これらのサイバー犯罪は一般的に認知されているので、対策を講じる人も年々増えています。しかし、IoTを狙った犯罪については、まだごくわずかの人にしか知られていないのが現状です。IoTをターゲットにする犯罪の被害に遭わないためにも私達は早急に知る必要があるといえます。
現代の生活に必要不可欠なIoTデバイス
「IoT」とは、「モノのインターネット」を意味する技術のことで、2010年代に入ってから急速に普及しました。具体的には、インターネットを通して様々なものを遠隔で操作、管理することが可能になりました。例えば、車のエンジンや施錠です。これまでは鍵を差し込み口に入れなくてはエンジンをかけられず、鍵も閉めることができませんでした。しかし、IoT技術のおかげでどちらもボタン一つで遠隔で行なえるようになりました。
また、IoTは家電に関しても大きな影響を与えました。現在、市販されている最先端の電子レンジは、スマホのアプリで料理のメニューを検索し、電子レンジやオーブンに送信すると自動で調理してくれたり、離れた場所にいても予熱や調理が完了した場合のお知らせを受信することができます。
そして、IoTデバイスの中で重要なカギを握っているのがスマートフォンです。このスマホの存在が、IoTデバイスの発展を加速させることになりました。洗濯機やエアコン、テレビをはじめとする家電製品は、スマホをリモコンの役割として使用して遠隔で操作することができ、毎月の自宅の電気使用量などもスマホでリアルタイムに確認することができるようになりました。
このような「IoT家電」や「スマート家電」と呼ばれるIoT技術が組み込まれた家電は、スマホやタブレット、パソコンと連動することによって、その機能を存分に発揮することができます。
IoTデバイスを狙う犯罪手口
もし、上記で紹介したIoTデバイスや製品がサイバー犯罪を受けた際にどのような被害が想定できるのでしょうか。IoTデバイスにおける被害事例を紹介します。
監視カメラ
自宅やオフィスの監視カメラが第三者に乗っ取られてしまうという事件は、これまで頻繁に起こっています。監視カメラがサイバー犯罪者に乗っ取られてしまうと、その「特定の場所を監視する」という本来の目的が失われるだけでなく、その監視カメラを悪用して個人のプライベートな映像をインターネット上に流出させたり、その映像を使って脅迫される可能性があります。また、高齢者や幼い子供を管理するために設置されたカメラもハッキングされてしまうと、監視対象者が危険な状態になるなど不測の事態に対応できない可能性も出てきてしまいます。
スマートメーター
最近、自宅の電力をデジタルで計測することができるスマートメーターが設置されている家が多いですが、実はこれがサイバー犯罪者のターゲットになっています。これまでスマートメーターのプログラムがサイバー犯罪者によってハッキングされ、不正に書き換えられてしまうという事件が報告されています。スマートメーターがハッキングされてしまうと電気代が過剰に請求されたり、外部から勝手に電力を止められてしまう可能性があります。また、過去には電力の消費量によって自宅の不在時間を知られてしまい、空き巣に入られたという事例もあります。
スマートキー
今や、車や自宅の鍵もスマートキーによって管理する時代になりました。しかし、もしもこのスマートキーがハッキングされてしまったら、車が盗まれたり、自宅に泥棒に入られたりするなどの被害に遭う可能性が出てきます。このようなスマートキーを狙った犯罪は、実際に日本国内でも報告されています。
インターネット上に個人情報が流出
自宅のIoTデバイスとしてインターネットに接続しているファックスや複合機がサイバー犯罪者達にハッキングされたことで、ファックスの送信内容やスキャナーで読み取った情報がインターネット上に流出してしまうという事例もあります。また、場合によっては情報と引き換えに身代金などの脅迫を受けてしまう可能性があります。
IoTデバイスには、インターネットなどのネットワークに接続するためのセンサーが搭載されていますが、実はこれがサイバー攻撃の標的にされやすいのです。その中でも特に、「長期間使用され続ける」、「装備されている機能が最小限」、「細かい管理が行き届きにくい」など、これらの理由が該当するデバイスが攻撃されやすい傾向があります。これを踏まえると上記で紹介したIoTデバイスが攻撃されているのも納得がいきます。
すぐに始められるIoTデバイスのセキュリティ対策
上記では、IoTデバイスをターゲットにしたサイバー攻撃例を紹介してきました。しかし実は、その多くが普段から注意していれば、防ぐことができます。以下では、サイバー犯罪の被害に遭わないために個人でも始められるセキュリティ対策をいくつかまとめてみました。
推測されにくいパスワードを設定する
IoTデバイスにパスワードを設定する場合、数字の「1234」や自分の生年月日などサイバー犯罪者に推測されやすいパスワードはできるだけ避けましょう。パスワードは大小のアルファベットや数字、記号などを含んだ複雑なものが理想的ですが、覚えておきにくいのが難点です。しかし、パスワード生成サービスなどを利用することで、複雑なパスワードが自動的に生成されます。
使用していないIoTデバイスの電源は切る
使用していないIoTデバイスは、なるべく電源を外してインターネット接続を解除するようにしましょう。インターネットに接続されたままだと、知らないうちに不正アクセスされてしまう可能性があります。
制作元が不明なデバイスは使用しない
これは必ずしもではありませんが、IoTデバイスの制作元がわからなかったり、お問合わせ先が明記されていない場合は、不正アクセスされて悪用されてしまう可能性があるので使用するのを避けましょう。万が一の場合に問い合わせできないないなど信頼性が低いためです。
不審なサイトやメールに添付されているURLをクリックしない
怪しいサイトやメールに添付されているURLをクリックしてしまうと、ウイルスに感染してデバイス内の情報を盗まれたり、第三者に遠隔操作されてしまう可能性があるので注意が必要です。
常に最新版を保つ
オンライン上でのサイバー攻撃やウイルスは次々と新しいものが現れます。それに対応するためもIoTデバイスで使用しているOSやアプリなどは常にアップデートし、最新版の状態にしておきましょう。
ウイルス対策ソフトを導入する
お使いのIoTデバイスにウイルス対策ソフトを導入することで外部からのサイバー攻撃などから保護することができます。特にマカフィーのような実績があり、オンライン上でのあらゆる脅威に対応した様々な機能を兼ね備えた信頼性の高いウイルス対策ソフトはおすすめです。
まとめ
今回は、IoTデバイスに対するサイバー犯罪の事例やその対策を紹介してきました。インターネットサービスやテクノロジー機器は、しばしば「置いていかれそう」と思うほど急ピッチで進化しています。しかしながら、そのスピードにセキュリティ面が追いついていないのが現状です。
サイバー犯罪は年々巧妙化しており、スマホなどIoTデバイスなどをターゲットに私達の生活に入り込み、個人情報などを盗もうと企ててきます。しかし、上記で紹介した各対策を実行することで、最低限防ぐことはできます。特にウイルス対策ソフトを導入することで、オンライン上に想定される様々なサイバー攻撃からお使いのIoTデバイスを保護することができるでしょう。
※本記事はアスキーとマカフィーのコラボレーションサイト「せきゅラボ」への掲載用に過去のMcAfee Blogの人気エントリーを編集して紹介する記事です。
■関連サイト
