NHK 解説委員室

解説アーカイブス これまでの解説記事

「どう高めるIoTセキュリティー」(時論公論)

三輪 誠司  解説委員

インターネットに接続できるさまざまな装置・IoTがサイバー攻撃に悪用され
ているとして、国は国内のIoTに対して、セキュリティー対策が取られている
かの調査をはじめました。IoTの安全性をどのように高めていけばいいのか考
えていきます。

j190221_00mado.jpg

IoTは「Internet of Things」の略です。インターネットに接続できる家電製
品などあらゆる装置のことです。例えば、家庭用エアコン。外出先からスマー
トフォンを使い、インターネットを介して暖房のスイッチを入れられる製品が
出ています。そうすることで帰宅した時に部屋を温かくしておくことが出来ま
す。

j190221_01_3.jpg

録画したテレビ番組をスマートフォンで見ることができる製品も増えています。
IoTは、便利な利用方法を提供する付加価値の高い製品としてメーカーも販売
に力を入れています。

しかしこれらのIoTが、サイバー攻撃に悪用されていることが明らかになって
います。内蔵されているコンピューターに感染するウイルスが広がっているの
です。

j190221_02_3.jpg
もっとも代表的なのが「Mirai」というウイルスで、セキュリティーの甘いIoT
に感染します。感染した後、同じようにセキュリティーの甘いIoTを自動的に
見つけて感染を広げる機能もあります。実は、こうした通信は、さまざまなサ
イバー攻撃全体の54%にものぼっていて、今のサイバー攻撃の中心はIoTが
関与しているものなのです。

j190221_02_5.jpg

Miraiに感染すると、IoTは勝手に遠隔操作されてしまいます。この結果引き起
こされたのが、2016年の10月にアメリカのIT企業が受けたサイバー攻撃でし
た。何者かが家庭などの10万台のIoTを操ってその企業のサーバーに大量の信
号を送りつけて停止せたのです。その影響でこの会社のサービスを利用してい
たアマゾンやツイッターなどの大手ネットサービスが利用できなくなりました。

j190221_02_6.jpg

IoTが乗っ取られるというと、情報流出や、機械が故障するというイメージを
持つ人が多いと思いますが、Miraiに感染しても、そういったことは起こりま
せんし、利用者は全く気づきません。しかし、自宅の家電がサイバー犯罪グルー
プの手下となり、社会の混乱に加担してしまうのです。

サービス妨害攻撃というこうした手法は、嫌がらせ、恐喝、愉快犯など、さま
ざまな目的で横行しています。乗っ取られたIoTは、今後もインターネット全
体の安全を脅かす危険性があるのです。

サイバー犯罪グループが、IoTを悪用するのには理由があります。まず、利用
者の多くが簡単な初期パスワードのまま利用しているためです。IoTは外部か
らの侵入を防ぐためにパスワードを設定しますが、初期パスワードの多くは
「password」や「00000」など、という簡単なものになっています。Miraiは、
このようなパスワードを使ってIoTに入り込むよう作られているのです。

j190221_03_4.jpg
また、ソフトウエアの欠陥を放置したまま利用されているIoTが多いことも狙
われる理由のひとつです。パソコンと同じように、IoTに組み込まれているコ
ンピューターには、販売後にセキュリティーの欠陥が見つかることが少なくあ
りません。

この場合、メーカーは欠陥を修正したアップデートを提供します。しかし安い
製品の場合、利用者はパソコンでホームページからアップデートファイルをダ
ウンロードし、USBメモリーを使って手動でIoTに組み込まなければなりません。
この作業が難しいためやる人が少なく、ルーターなどのIoTが相次いで不正ア
クセスを受けていることが明らかになっています。

こうした危険な状況を何とかしようと国は今月20日から、世界的にも例がない
調査をはじめました。総務省が所管する情報通信研究機構が国内のすべてのI
oTに接続します。そして簡単なパスワードおよそ100種類を次々と入力し
ていきます。ログインできてしまったものについては後日通信会社を通じて利
用者にメールしパスワードを変更するよう注意喚起をしていくということです。

j190221_04_3.jpg
この手法は、本来は不正アクセス禁止法で処罰の対象になります。しかし国は、
法律を改正し、5年間に限って今回の調査を行えるようにしました。ただ、今
回の手法は、いわば住宅のドアに十分に鍵がかかっているかを確かめて回るの
と似ています。頼んでもいないのに、空き巣調査をされるようなものです。

国は、ログインできるかどうかと、その機種名を確認するだけだとして理解を
求めていますが、プライバシーの、のぞき見もできてしまうとして反対意見も
見られます。

j190221_05_1.jpg
ただ、今回の調査をしてもしなくても、簡単なパスワードのまま利用している
IoTは、すでにウイルス感染しているか、いずれ感染してしまうことは間違い
ない状況です。IoTを通じた大規模なサイバー攻撃の危険性は間違いなく高まっ
ています。反対意見はありますが、こうした踏み込んだ調査をしなければなら
ないほどの深刻な状態であるということを受け止める必要があるのではないで
しょうか。

次に、IoTの安全対策は、今後どのように行うべきでしょうか。

まず、利用者です。複雑なパスワードをきちんと設定するなど、セキュリティー
の基本的な対策をすることが必要です。しかし、初期パスワードのまま利用す
る人や、アップデートしない人が多い現状は、メーカーにも大きな責任がある
と思います。IoTの中には、ランダムな初期パスワードが製品ごとに設定して
あるものや、自動でアップデートをするものがあります。

しかし、価格の安いものは、利用者が手動で行うよう説明書に書いてあるだけ
です。これでは、利用者に安全対策の責任を押し付けていると言えないでしょ
うか。主要なパソコンソフトは、15年も前に自動アップデートするようになり、
欠陥を悪用する攻撃の被害が大幅に減りました。IoTもそのようにすべきです。
メーカーは販売したらそれで終わりではなく、その後のセキュリティーの面倒
も見なければ、結果的に欠陥製品をばらまいたのと変わりません。

本来、販売した製品に欠陥が見つかった場合、メーカーはリコールし、無償で
修理・交換を呼びかけます。暖房器具などはテレビコマーシャルでリコールを
告知していますが、IT業界のメーカーがルーターなどIoTの欠陥情報や、パス
ワードを変更するよう積極的に周知したケースはネット広告を含めてほとんど
見たことがありません。

j190221_06_4.jpg
インターネットに接続できるようにして販売している以上、巧妙化するサイバー
攻撃に対応できるよう、自動でアップデートするように作り込むか、リコール
してでも直すべきです。

さらに、家電の販売店もやらなければならないことがあります。売り場での利
用者への説明です。

j190221_07_3.jpg
初期パスワードが製品ごとにバラバラになっているか、自動でアップデートす
るようになっているか、わかりやすく情報を提示しなければなりません。そう
でない安い製品を選ぶ客には、セキュリティーは自己責任でしなければならな
いことを告知する必要があります。製品の悪い面を隠したまま販売することは、
客のためにはなりません。

家電製品は、普通に利用しているだけで、安全に使えることが前提です。今回、
国が、利用者に不安を与えかねない全国調査をしてでもIoTのセキュリティー
を高めようというのならば、インターネットに詳しくない人でも安全に利用し
続けられる製品が提供されるようにするべきです。メーカーや販売店が意識を
変えていくよう、国による指導監督を求めます。

(三輪 誠司 解説委員)

キーワード

関連記事