テクノロジ系

IoTのセキュリティリスク — スマート家電が狙われる理由

導入

スマートスピーカーや監視カメラ、スマート家電がインターネットにつながる時代になりました。便利な反面、これらのIoTデバイスが攻撃者に狙われているという現実も知っておく必要があります。

なぜ重要か

IoTデバイスの普及は急速に進んでおり、工場の生産設備や医療機器、交通システムにまで接続範囲が広がっています。これらのデバイスは従来のPCやスマートフォンと比べてセキュリティ対策が後回しにされやすく、攻撃者にとっては格好の侵入口となっています。

実際に、世界規模で数十万台のIoTデバイスが乗っ取られ大規模なサービス停止を引き起こした事例が報告されています。個人の生活空間に入り込んだデバイスが攻撃の踏み台になれば、プライバシー侵害だけでなく社会インフラへの脅威にもなりかねません。ITパスポートでもIoTセキュリティは繰り返し出題されており、「デバイスに潜む脆弱性と適切な対策」を正確に理解することが求められています。

くわしく知ろう

IoT(Internet of Things:モノのインターネット)とは、様々な機器やセンサーをインターネットに接続して、データの収集や遠隔操作を可能にする仕組みのことです。便利な反面、セキュリティ上の脆弱性(セキュリティホール)を抱えたデバイスが増えていることが問題になっています。

IoTデバイスに多い脆弱性のひとつが、デフォルトパスワードのままで使い続けることです。製品出荷時に設定されている初期パスワードは広く知られているケースがあり、変更しないまま使うと攻撃者に簡単に乗っ取られてしまいます。デバイスを設置した際に必ずパスワードを変更することが基本的な対策として求められます。

次に、ファームウェア(デバイスの動作を制御する組み込みソフトウェア)の更新管理も重要です。脆弱性が発見されたときにメーカーが修正プログラムを提供するため、定期的にアップデートを適用することで既知の攻撃を防ぐことができます。PCやスマートフォンと同様に、「放置しない」という姿勢がセキュリティの基本です。

また、多数のIoTデバイスが攻撃者に乗っ取られて一斉に特定のサーバへ大量のリクエストを送りつける攻撃をDDoS攻撃(分散サービス妨害)と呼びます。乗っ取られた機器の集まりをボットネットと呼び、所有者が気づかないまま攻撃の踏み台にされることがあります。

ネットワーク分離(セグメンテーション)もIoTセキュリティの有効な対策です。IoTデバイス専用のネットワークを業務システムから切り離すことで、万一デバイスが乗っ取られても被害の拡大を防ぐことができます。

具体例で理解する

たとえば、自宅の監視カメラがデフォルトパスワードのままで設置されていると、攻撃者がインターネット経由でログインし、映像を盗み見たり、ほかのサーバへの攻撃に悪用したりするリスクがあります。工場の生産ラインに接続されたセンサーが乗っ取られれば、稼働データの改ざんや生産停止につながる可能性もあります。定期的なファームウェア更新とパスワード変更が欠かせません。

試験での出題パターン

【パターン1:IoTデバイスの脆弱性と対策を組み合わせる問題】

「デフォルトパスワードをそのまま使い続ける」という脆弱性に対して「設置時にパスワードを変更する」が適切な対策として問われます。「ファームウェアの更新を行わない」という脆弱性に対して「定期的なアップデートの適用」が対応する対策です。問題文の「脆弱性の説明」と「対策の選択肢」を正しくペアリングできるよう整理しておきましょう。

【パターン2:ボットネットとDDoS攻撃の関係を問う問題】

「乗っ取られた多数のIoTデバイスが一斉に攻撃に使われる仕組み」という説明に対して、ボットネットとDDoS攻撃の組み合わせが正解になります。「フィッシング」「ランサムウェア」「SQLインジェクション」などの他の攻撃手法と混同しないよう、「分散・多数・一斉」というキーワードでDDoS攻撃を区別してください。

【パターン3:IoTセキュリティ対策の選択問題】

「適切な対策として選ぶ」パターンでは、デフォルトパスワードの変更・ファームウェアの定期更新・ネットワーク分離が正解候補になります。「デバイスをインターネットに接続しない」は最も根本的な解決策ですが、IoTの目的を損なうため現実的な対策としては不適切と判断される場合があります。

よくある間違い・紛らわしいポイント

【ファームウェアとソフトウェアの混同】

ファームウェアはデバイスのハードウェアに組み込まれた制御プログラムです。通常のアプリケーションソフトウェアとは異なり、デバイスの基本動作を司っています。IoTデバイスのセキュリティ更新は「ソフトウェアのアップデート」ではなく「ファームウェアの更新」として出題されるため、用語を区別して覚えておいてください。

【DDoS攻撃とDoS攻撃の混同】

DoS攻撃(サービス妨害)は1台のコンピュータから行われる攻撃です。DDoS攻撃(分散サービス妨害)は多数の機器から同時に行われる攻撃で、規模と対処の難しさが異なります。IoTのボットネットを利用した攻撃はDDoS攻撃として分類されます。「D(Distributed:分散)」の有無で区別してください。

【ボットネットに「意図的に参加している」という誤解】

ボットネットを構成しているデバイスの所有者は、自分の機器が攻撃に使われていることを多くの場合気づいていません。マルウェアに感染したり初期パスワードのまま乗っ取られたりした結果、知らないうちに踏み台にされているのがボットネットの実態です。

まとめ・試験ポイント

  • IoT=様々な機器をインターネットに接続する仕組み
  • デフォルトパスワードの変更は最も基本的なIoTセキュリティ対策
  • ファームウェア更新=脆弱性を修正する組み込みソフトウェアのアップデート
  • ボットネット=乗っ取られた機器の集合体、DDoS攻撃の踏み台になる
  • DoS=1台から、DDoS=多数の機器から行う分散型サービス妨害攻撃
  • 試験では「IoTデバイスの脆弱性」と「適切な対策」を組み合わせた問題が頻出

学習した内容を試験形式で確認しよう。ITパスポート入門試験100問に挑戦できます。

入門試験100問に挑戦する