「admin」「password」は禁止!
家庭でルーターや、スマート家電のようなIoT機器などを使う場合、気をつけたいのがパスワードだ。初期状態の場合、パスワードは「admin」など初期設定のままの文字列になっていることもある。
これを禁止しようとしているのがイギリスだ。
イギリスでは2024年4月29日、「Product Security and Telecommunications Infrastructure Act(PSTI法、製品セキュリティおよび通信インフラストラクチャー法)」の改正案が施行された(New laws to protect consumers from cyber criminals come into force in the UK - GOV.UK)。
この法案は2020年に起草されたもので、ハッキングやサイバー攻撃から消費者を守るための規制だ。
メーカーに対して、販売するIoT機器に対し「admin」「password」といった推測しやすいデフォルトパスワードの使用を禁止。推測されにくいパスワードを設定する、もしくはユーザーがパスワードを設定できるようにすることが義務化される。
また、セキュリティ更新のサポート期間の明示、脆弱性の報告を受ける体制の整備なども義務付けられている。
このように、ルーターやIoT機器のセキュリティは国家が重視するほど大切なものだ。目に見えない“無線”で使うことが多いからこそ、異常には気が付きにくい。早め早めに対応することが肝心といえる。
パスワードを設定する際の心得
ルーターやIoT機器の場合、パスワードだけでなく、機器の問題を改善するためのファームウェアを最新の状態にすることも重要だ。リスクを未然に防ぐことにつながる。
また、メーカーのサポートが終了したルーターは、ファームウェアの更新がされないことが多い。サポートが終了したルーターは買い替えを検討する手もある。
パスワードに関してはどうか。現在では、顔認証や指紋認証のような生体認証ツールが普及し始めている。もっとも、パスワードによる認証法もまだまだ必要不可欠な存在といえる。
そのため、ルーターなどに限らず、サービスなどにログインするパスワードを作成する際には、推測されにくいものを用意する必要がある。特殊文字や数字、大文字、小文字をランダムに組み合わせ、個人情報(名前や誕生日など)が含まれないようなものがよいだろう。
また、すべてのアカウントに同じパスワードを使用することはNG。もし、パスワードを使いまわしていた場合、1つのパスワードが解読されたり情報漏えいなどで流出したりした場合、他のWebサービスやSNSなどへアクセスされる可能性が高くなる。
なお、パスワードの強化だけでなく、全体的なセキュリティの強化も忘れてはならない。信頼のできるセキュリティソリューションを導入し、ウイルスやマルウェアの脅威から身を守るのも、基本中の基本だ。
今回は、McAfee Blogから「IoTデバイスを狙ったサイバー犯罪とセキュリティ対策について」を紹介しよう。
※以下はMcAfee Blogからの転載となります。
IoTデバイスを狙ったサイバー犯罪とセキュリティ対策について :McAfee Blog
近年のIoTデバイスの発展には目を見張るものがあります。電気や防犯装置はもちろんのこと、テレビや洗濯機などの家電まで、私達の生活において様々なものがIoTデバイスと接続することで遠隔で操作できるようになり、利便性がとても向上しました。しかしながら、このような便利さと比例して、オンライン上でのセキュリティ面でのリスクがより増えているのも事実です。世の中がどんどんデジタル化していくに従って、サイバー犯罪者達は新たなサイバー犯罪の手口を次々と生み出して、IoTデバイスに狙いを定めて私達を攻撃してきます。今回は、IoTデバイスを狙うサイバー犯罪の傾向とその対策について紹介していきます。
利便性の向上と比例して増え続けるリスク
2017年3月、ドイツ製の業務用全自動食器洗い機が搭載したWebサーバー機能に、脆弱性が発見されたとのニュースが話題になりました。本来はネットワーク接続や遠隔操作のために使われる機能ですが、対策がなされるまでは外部から不特定多数のアクセスを呼び込みかねない状況にあったようです。
このニュースの他にもIoTデバイスを狙ったサイバー攻撃が増加しており、決して安全とはいえないのが現状です。特に様々な地域のWebカメラや監視カメラの映像が第三者に見られてしまうという事例は後を絶たず、各国で深刻な問題となっています。IoTデバイスは、遠隔で自宅の監視カメラを確認するなど、特定の目的を実行するために利用しますが、なかにはサイバー犯罪者が悪用するケースもあります。
IoTデバイスのセキュリティ面も、このような次々と起こる新たな犯罪に巻き込まれないための対策として日々進化し続けていますが、私達自身もサイバーセキュリティに関する知識を習得し、対策を十分に行なうことが一番の予防策といえます。
家庭のIoTデバイスに、潜んでいるかもしれないリスク
スマホで家の鍵を開け閉めしたり、外出先にいながら冷暖房のスイッチを操作するなど、モノがインターネットとつながる「IoT」機能を搭載した製品が私達の生活に浸透しはじめて既に数年が経ちました。IoTデバイスのおかげで生活がより便利になりましたが、一方ではIoTデバイスの増加とともにセキュリティ面での不安が問題化しています。このIoTデバイスが当たり前になりつつある現代において、一体どのようなリスクがあるのか、いくつかの事例を紹介します。
監視カメラ
近年、メディアでよく話題となっているのがインターネットに接続している監視カメラが外部の第三者に乗っ取られるケースです。乗っ取られた監視カメラは、サイバー犯罪者によって不正に操作されるだけでなく、家の中の自分のプライベートが全て見られてしまいます。過去には世界中の監視カメラの映像に不正アクセスできる海外のサイトが話題になったり、アメリカでは子供を見守るための子守用カメラが相次いで乗っ取られたケースもあります。家に帰宅した家族が、音声機能を通してサイバー犯罪者が子供に話しかけていたり、罵声を浴びせられたりした事例も報告されています。こうした監視カメラの乗っ取りは、単なるいたずらだけにとどまらず、犯人は映像を通して被害者の生活パターンや金融情報に繋がる情報を探し出して、犯罪の手口を練っている可能性があります。
スマートメーター
電力供給など生活インフラもIoT化が進むほど、サイバー犯罪のリスクが高まる可能性があります。近年、新築やリフォームをした家には、スマートメーターが設置されている場合が多いです。これは自宅の電力をデジタルで計測し、電力の使用状況に合わせて節電するなど電力を制御できる装置です。海外では過去に企業や一般家庭に普及していたスマートメーターのプログラムがサイバー犯罪者によってハッキングされ、不正に書き換えられるという事例があります。この不正プログラムは、請求される電気料金を通常の50〜75%の割引価格にごまかし、電力会社が受け取るはずの電気料金を激減させて、莫大な損害をおよぼしたといわれています。仮にこのようにスマートメーターに不正介入できるとしたら、電気料金や住人の生活パターンがサイバー犯罪者に筒抜けになり、最悪の場合は長期の留守期間中に警報システムを停止され、泥棒に入られてしまう危険性があります。
自動車のスマートキー
鍵を使用せずに自動車の解錠や施錠が可能なスマートキーは、日本国内の自動車でもよく利用されていますが、実はその脆弱性から自動車の盗難事件が起こっています。通常、車にスマートキーを近づけることで電波を送信し、触れると鍵をかけたり、エンジンをかけることができます。しかし、サイバー犯罪者達はその間で送信されている電波を不正に増幅させる機器を持っており、これを使用すると、車の鍵を開けるためにドアに近づいたり、触れた際に家の中にあるスマートキーがあたかも車の近くにあるように装うことができます。この手口はリレーアタックと呼ばれており、これによってドアの解錠やエンジンを始動させることが可能になり、盗難などの被害に遭ってしまいます。
医療機器の乗っ取り
近年は自宅だけにとどまらず、企業や医療機関でのIotデバイスの乗っ取りも増えています。アメリカの医療機関では、胎児モニター装置がマルウェアに感染してしまい、患者には直接の被害はありませんでしたが、装置のレスポンスが遅くなるというケースが報告されています。このような電子カルテシステムやMRIといった医療関連のIoTデバイスへのサイバー攻撃は、人命に関わる事態を引き起こす可能性があるので非常に深刻な問題の一つといえます。
「バックドア」の危険性と対策
これまではIoTデバイスに関する様々な事例をみてきましたが、不正な侵入を許しやすいのが現状です。
また、時々、自宅や会社のデバイスで使用しているファイルの動きが遅かったり、異常がある場合、「バックドア」が仕掛けられている可能性があります。バックドアは、サイバー犯罪者が様々なソフトに仕掛けた裏口を意味し、ここから無断で入り込んで様々な情報を盗み出します。バックドアは、主にメールや危険なサイトからウイルスの感染によって仕掛けられることが多いですが、Webサービスやソフトウェアの開発時にあらかじめバックドアを仕掛ける手口も存在します。IoTデバイスの場合もお使いのIoTデバイス内のソフトが最新版ではない場合、バックドアが仕掛けられてしまう可能性があります。特に家電製品の場合、相場よりもあまりにも安すぎる製品などはバックドアが仕掛けられているなど危険な可能性が高いです。
このようなバックドアを含む、IoTデバイスを狙ったサイバー犯罪に巻き込まれないために個人レベルでできる対策は、基本的なセキュリティの見直しに尽きます。まず、お使いのOSやアプリは、定期的にバージョンの更新の通知が来たらすぐに実行するなど、常に最新版の状態にしておきましょう。最新版は次々と現れるオンライン上での新たな脅威に対してしっかりと対応をしています。
また、インターネット上でフリーソフトや開発元が危険な可能性があるアプリのダウンロードなどは絶対にしないようにしましょう。各インターネットサービスのパスワードに関しても、初期設定のままではなく、自動生成などで作成するなど第三者に予測されにくいものに設定しておくことをおすすめします。
そして、最も重要なのがセキュリティソフトの導入です。マカフィーのような信頼性の高いオンラインセキュリティ会社のソフトを導入しておくことで、お使いのIoTデバイスを保護することができるので、外部から攻撃されたり、情報が漏洩してしまう可能性を下げることができます。特にマカフィーのMcAfee+ ウルティメイトは、実績豊富なウイルス対策ソフトをはじめ、インターネット通信を外部に見られることなく暗号化するVPNなど、様々なセキュリティ機能を兼ね備えている総合的なセキュリティソフトで、オンライン上におけるユーザーのあらゆる個人情報を保護します。
まとめ
今回は、IoTデバイスに関する危険性とセキュリティ対策について紹介してきました。私達が暮らす日常では、たくさんのIoTデバイスが存在しています。IoTデバイスは遠隔で操作できるなど多くの利便性を得られますが、代わりにオンライン上でのセキュリティ面に不安が残るのも事実です。サイバー犯罪者達は、そんなセキュリティ面の脆弱性を狙ってきますが、私達はサイバー攻撃やセキュリティ対策に関する知識を習得することで、リスクを避けることができます。さらにはマカフィーのような優れたセキュリティ対策ソフトを導入することで、オンライン上での脅威を気にすることなく、IoTデバイスをより快適に使用できるようになるでしょう。
■関連サイト
