パソコンやスマートフォンといった情報機器以外にも、インターネット接続機能をもつ家電が年々増加している。最近では、ネット対応家電を集めた「IoTコーナー」を設ける家電量販店も出てきた。しかしその一方、IoT機器を狙ったサイバー攻撃も急増している。ネット対応家電を扱うにあたって、最低限認識しておくべきリスクと、その対策をまとめた。
また、経済産業省所管の独立行政法人で、情報セキュリティに関する情報提供や対策の普及啓発を行っている情報処理推進機構(IPA)は、毎年「情報セキュリティ10大脅威」を発表しているが、その2017年版では初めて、「IoT機器の不適切な管理」が個人に対する脅威の10位にランクインした。
IoTという言葉で呼ばれるようになったのはここ数年だが、自宅の様子を外出先から確認できるカメラや、携帯電話で録画予約ができるレコーダーなど、インターネット接続機能に対応した製品は十数年前から発売されている。
近年になってその危険性が表面化した理由について、IPAセキュリティセンターの辻宏郷研究員は「IoT機器の数が増大したことで、攻撃が行われた際の被害がこれまでとは違う大きな規模になっている」と説明。しかも、パソコンやサーバーなどと異なり、ネット対応家電のような機器の場合、所有者がセキュリティ上のリスクを認識していないことも多く、パスワードが初期設定のままになっていたり、ぜい弱性が放置されていたりするケースも多い。「台数が多く、容易に乗っ取れる機器が、今や世界中に散らばっている。攻撃者から見て“いいことずくめ”なのがIoT機器なのです」(辻研究員)。
情報処理推進機構 技術本部 セキュリティセンター 辻宏郷研究員
まず考えられるのが、カメラやレコーダーで記録される情報そのものが、攻撃者の手に渡る危険だ。カメラが自宅の中を写していた場合、見られたくないプライバシーが外部に漏れるおそれがあるし、事務所に設置された機器が乗っ取られた場合は、企業秘密や顧客情報などが流出して、場合によっては損害賠償が必要になることも考えられる。
さらに恐ろしいのが、ネット家電はユーザーの生活に密着しているだけに、セキュリティの不備が現実の生命や財産を脅かしかねないということだ。カメラの映像や家電の利用状況が外部に知られた場合、家主の留守や子どもが一人でいる時間や、よく訪れる場所などを特定され、最悪の場合は窃盗や誘拐の被害に遭う可能性もある。
また、ネット家電そのものではなく、それに連携するサービスや、家庭内の他の機器などに侵入されるおそれもある。IPAの辻研究員によると、Googleカレンダー連携機能をもつスマート冷蔵庫にぜい弱性があり、Googleへのログインに必要な情報が盗まれ得る状態だった事例もあるという。アカウント情報が盗まれると、メールやSNSなどの情報がすべて他者に渡ってしまうことになり、極めて危険だ。ネット家電自体が扱う情報はわずかだったとしても、家電を介して大量の情報漏えいが引き起こされるリスクがあることは認識しておく必要がある。
・DDoS攻撃などに荷担する“加害者”になる
・カメラ映像や、製品に保存した情報が盗まれる
・製品と連携するサービスや、別の機器に侵入される
・犯罪者に生活パターンを知られ、現実の犯罪に遭う
とはいえ、家電の説明書を読まない消費者のほうが、実際には多数派かもしれない。せめて、「パスワードは初期状態から必ず変更する」ことだけでも徹底されれば、ネット家電侵入のリスクは低減できる。攻撃者が真っ先に狙うのは、デフォルトパスワードのままインターネットに接続されている機器だからだ。ネット家電の売り場では、店頭の掲示や販売員の接客トークなどで、最低限パスワードの変更と、最新のソフトウェアへのアップデートの必要性を案内するのが望ましい。
そこで、セキュリティベンダーが昨年ごろから提案を始めているのが、家庭のネットワークに接続することで、外部からの侵入や不正サイトへのアクセスをブロックできる、ボックス型のセキュリティ製品だ。すでに国内で販売されている製品としては、トレンドマイクロの「ウイルスバスター for HomeNetwork」と、ルーマニアのビットディフェンダーが開発し、日本ではBBソフトサービスが販売・サポートを提供する「Bitdefender BOX」がある。これらは機器1台1台で個別のインストール作業や設定をしなくても、自宅のネットワークにつなぐパソコンや家電をまとめて守れるのが特徴だ。
「ウイルスバスター for Home Network」(左)と「Bitdefender BOX」。
家庭へのサイバー攻撃をブロックし、スマホアプリなどで危険の通知を受けられる
トレンドマイクロで製品開発を担当するプロダクトマーケティング本部の和田克之マネージャーは、「昨年夏に当社で行った調査では、家庭のネットワークに接続されている機器の3割が、プリンタ、テレビ、HDD、ゲーム機など、パソコンやスマートフォン以外の製品だった」と話し、それらの機器を守る手段を提供すべく新製品を開発したと説明する。すでに家庭で使用している機器に手を加えることなく、ルータの空いているポートにLANケーブルで接続するだけで、通信を監視し侵入を防御できる簡単さが売りだ。
トレンドマイクロ 和田克之マネージャー
Bitdefender BOXは端末の管理機能が充実しており、通信量の監視や紛失した端末の特定などが可能。また、購入ユーザーはWindows、Mac、Android用のセキュリティソフトが台数無制限で使用できるので、端末を自宅から外へ持ち出した際のセキュリティも高められる。BBソフトサービス オンラインセキュリティラボの山本和輝シニアエヴァンジェリストは「一定のIT知識をもつユーザーの間では、所有する複数の端末をしっかり管理したいという意識は高まっている」と話し、家庭のネットワークで何が起きているかを把握できるセキュリティ製品の需要増を見込む。
BBソフトサービス 山本和輝シニアエヴァンジェリスト
両製品とも、現状のユーザーはセキュリティ意識がかなり高い層に限られるが、家庭内の機器を管理するというニーズが高まる方向にあることは間違いないだろう。例えば、子どもがスマートフォンでどんなアプリやサイトを使用しているか、親なら必ず気になるところだが、子どもは自分の端末を親には見せたがらないし、親もすべての使用履歴まではチェックしきれない。このような不安も、セキュリティ機器を導入することである程度解消できる。
IoTブームに乗じた家庭へのサイバー攻撃被害を未然に防ぐには、ネット家電を含めた、家庭のインターネット利用環境全体をより安全にしていくという考え方を広めていくことが求められる。
「デフォルトパスワードが危険ならば、最初にパスワードを変更しない限り使用できないように製品を設計すべきでは」と思われるかもしれないが、そのような仕様にすると、初期設定作業を飛ばしたユーザーから「家のネットにつないだのに動かない」といった問い合わせが販売店に寄せられるので、クレームの未然防止ため“つなぐだけで動く”仕様とするメーカーが少なくないのだという。
しかし、このような設計は本当にユーザーのためになっているのだろうか。販売の現場では、パスワード設定なしで使える製品はむしろ危険という認識を共有し、顧客にも「一手間かかるが、それがお客様自身を守る」という考え方を粘り強く伝えていくことが必要だろう。重大事故が社会問題になれば、IoT市場の可能性をつぶすことにもなりかねない。
攻撃者側にとっては“いいことずくめ”のIoT機器
昨年10月、TwitterやNetflixなどの大手ネットサービスが相次いでダウンした。膨大な数のマシンから一斉にアクセスを行うことでサービスを利用不能にする「DDoS攻撃」を受けたためだ。DDoS攻撃自体はサイバー攻撃の手法として新しいものではないが、過去の大規模なDDoS被害と大きく異なっていた点が一つある。攻撃に加わったマシンが、パソコンやサーバーではなく、ネットワークカメラやビデオレコーダーなどのいわゆる「IoT機器」だったのだ。攻撃者は世界中に設置された大量のIoT機器を乗っ取り、機器の所有者に気づかれることなく、それらを攻撃用のマシンに仕立て上げ、あるタイミングでターゲットとなるサービスに対して一斉に攻撃をしかけていた。また、経済産業省所管の独立行政法人で、情報セキュリティに関する情報提供や対策の普及啓発を行っている情報処理推進機構(IPA)は、毎年「情報セキュリティ10大脅威」を発表しているが、その2017年版では初めて、「IoT機器の不適切な管理」が個人に対する脅威の10位にランクインした。
IoTという言葉で呼ばれるようになったのはここ数年だが、自宅の様子を外出先から確認できるカメラや、携帯電話で録画予約ができるレコーダーなど、インターネット接続機能に対応した製品は十数年前から発売されている。
近年になってその危険性が表面化した理由について、IPAセキュリティセンターの辻宏郷研究員は「IoT機器の数が増大したことで、攻撃が行われた際の被害がこれまでとは違う大きな規模になっている」と説明。しかも、パソコンやサーバーなどと異なり、ネット対応家電のような機器の場合、所有者がセキュリティ上のリスクを認識していないことも多く、パスワードが初期設定のままになっていたり、ぜい弱性が放置されていたりするケースも多い。「台数が多く、容易に乗っ取れる機器が、今や世界中に散らばっている。攻撃者から見て“いいことずくめ”なのがIoT機器なのです」(辻研究員)。
情報処理推進機構 技術本部 セキュリティセンター 辻宏郷研究員
家電の乗っ取りが空き巣や誘拐を誘発!?
冒頭で紹介したサイバー攻撃で最終的なターゲットとなったのはネットサービスで、機器の所有者が直接的な被害を被ることはなかった。しかし、このような事件が起きたことで、一般家庭に置かれているネット家電も、同様の手法で外部から乗っ取られる危険性があることが明白になった。では、仮に攻撃の手が外部ではなく、家電ユーザー自身に及んだ場合、どんなリスクがあるのだろうか。まず考えられるのが、カメラやレコーダーで記録される情報そのものが、攻撃者の手に渡る危険だ。カメラが自宅の中を写していた場合、見られたくないプライバシーが外部に漏れるおそれがあるし、事務所に設置された機器が乗っ取られた場合は、企業秘密や顧客情報などが流出して、場合によっては損害賠償が必要になることも考えられる。
さらに恐ろしいのが、ネット家電はユーザーの生活に密着しているだけに、セキュリティの不備が現実の生命や財産を脅かしかねないということだ。カメラの映像や家電の利用状況が外部に知られた場合、家主の留守や子どもが一人でいる時間や、よく訪れる場所などを特定され、最悪の場合は窃盗や誘拐の被害に遭う可能性もある。
また、ネット家電そのものではなく、それに連携するサービスや、家庭内の他の機器などに侵入されるおそれもある。IPAの辻研究員によると、Googleカレンダー連携機能をもつスマート冷蔵庫にぜい弱性があり、Googleへのログインに必要な情報が盗まれ得る状態だった事例もあるという。アカウント情報が盗まれると、メールやSNSなどの情報がすべて他者に渡ってしまうことになり、極めて危険だ。ネット家電自体が扱う情報はわずかだったとしても、家電を介して大量の情報漏えいが引き起こされるリスクがあることは認識しておく必要がある。
・DDoS攻撃などに荷担する“加害者”になる
・カメラ映像や、製品に保存した情報が盗まれる
・製品と連携するサービスや、別の機器に侵入される
・犯罪者に生活パターンを知られ、現実の犯罪に遭う
「説明書を読む」ことがセキュリティ対策の第一歩
では、ネット家電を通じたサイバー攻撃の被害を防ぐためには、何をすべきか。ネット家電の多くは、インターネット接続時の注意事項や、適切な設定方法を、取扱説明書に記載している。IPAの辻研究員は「基本的なことだが、まずはネットにつなぐ前に、きちんと説明書を読んでほしい」と話し、ネット家電のリスクと正しい取り扱い方法を知ることが、セキュリティ対策の第一歩になるとの考えを示す。とはいえ、家電の説明書を読まない消費者のほうが、実際には多数派かもしれない。せめて、「パスワードは初期状態から必ず変更する」ことだけでも徹底されれば、ネット家電侵入のリスクは低減できる。攻撃者が真っ先に狙うのは、デフォルトパスワードのままインターネットに接続されている機器だからだ。ネット家電の売り場では、店頭の掲示や販売員の接客トークなどで、最低限パスワードの変更と、最新のソフトウェアへのアップデートの必要性を案内するのが望ましい。
家庭のネットワークを管理できるセキュリティ製品が登場
やっかいなのは、一部のネット家電では、メーカーがぜい弱性を放置していたり、ソフトウェア更新の機能をもっていなかったりするケースがあることだ。パソコンやスマートフォンとは異なり、ネット家電にはウイルス対策ソフトをインストールすることもできない。そこで、セキュリティベンダーが昨年ごろから提案を始めているのが、家庭のネットワークに接続することで、外部からの侵入や不正サイトへのアクセスをブロックできる、ボックス型のセキュリティ製品だ。すでに国内で販売されている製品としては、トレンドマイクロの「ウイルスバスター for HomeNetwork」と、ルーマニアのビットディフェンダーが開発し、日本ではBBソフトサービスが販売・サポートを提供する「Bitdefender BOX」がある。これらは機器1台1台で個別のインストール作業や設定をしなくても、自宅のネットワークにつなぐパソコンや家電をまとめて守れるのが特徴だ。
「ウイルスバスター for Home Network」(左)と「Bitdefender BOX」。
家庭へのサイバー攻撃をブロックし、スマホアプリなどで危険の通知を受けられる
トレンドマイクロで製品開発を担当するプロダクトマーケティング本部の和田克之マネージャーは、「昨年夏に当社で行った調査では、家庭のネットワークに接続されている機器の3割が、プリンタ、テレビ、HDD、ゲーム機など、パソコンやスマートフォン以外の製品だった」と話し、それらの機器を守る手段を提供すべく新製品を開発したと説明する。すでに家庭で使用している機器に手を加えることなく、ルータの空いているポートにLANケーブルで接続するだけで、通信を監視し侵入を防御できる簡単さが売りだ。
トレンドマイクロ 和田克之マネージャー
Bitdefender BOXは端末の管理機能が充実しており、通信量の監視や紛失した端末の特定などが可能。また、購入ユーザーはWindows、Mac、Android用のセキュリティソフトが台数無制限で使用できるので、端末を自宅から外へ持ち出した際のセキュリティも高められる。BBソフトサービス オンラインセキュリティラボの山本和輝シニアエヴァンジェリストは「一定のIT知識をもつユーザーの間では、所有する複数の端末をしっかり管理したいという意識は高まっている」と話し、家庭のネットワークで何が起きているかを把握できるセキュリティ製品の需要増を見込む。
BBソフトサービス 山本和輝シニアエヴァンジェリスト
両製品とも、現状のユーザーはセキュリティ意識がかなり高い層に限られるが、家庭内の機器を管理するというニーズが高まる方向にあることは間違いないだろう。例えば、子どもがスマートフォンでどんなアプリやサイトを使用しているか、親なら必ず気になるところだが、子どもは自分の端末を親には見せたがらないし、親もすべての使用履歴まではチェックしきれない。このような不安も、セキュリティ機器を導入することである程度解消できる。
IoTブームに乗じた家庭へのサイバー攻撃被害を未然に防ぐには、ネット家電を含めた、家庭のインターネット利用環境全体をより安全にしていくという考え方を広めていくことが求められる。
「デフォルトパスワードが危険ならば、最初にパスワードを変更しない限り使用できないように製品を設計すべきでは」と思われるかもしれないが、そのような仕様にすると、初期設定作業を飛ばしたユーザーから「家のネットにつないだのに動かない」といった問い合わせが販売店に寄せられるので、クレームの未然防止ため“つなぐだけで動く”仕様とするメーカーが少なくないのだという。
しかし、このような設計は本当にユーザーのためになっているのだろうか。販売の現場では、パスワード設定なしで使える製品はむしろ危険という認識を共有し、顧客にも「一手間かかるが、それがお客様自身を守る」という考え方を粘り強く伝えていくことが必要だろう。重大事故が社会問題になれば、IoT市場の可能性をつぶすことにもなりかねない。
※『BCN RETAIL REVIEW』2017年5月号から転載
