見出し画像

「IoT機器 20万台超にサイバー攻撃の高リスク 更新の徹底を」

かちょー@エンジニア

大手出版社のKADOKAWAが被害を受けるなど、サイバー攻撃によるシステム障害や情報漏洩が相次いでいます。
そうした中、「IoT機器」と呼ばれる、インターネットにつながるルーターや監視カメラなどについてセキュリティー会社が調査したところ、およそ20万台が外部からアクセス可能で、サイバー攻撃を受けるリスクが高い状態にあることがわかりました。
専門家はソフトウエアの更新やパスワード管理の徹底など、注意を呼びかけています。

https://www3.nhk.or.jp/news/html/20240810/k10014543671000.html

                        出典:NHK NEWS WEB

<IoT機器 20万台超に「ぜい弱性」>

東京のセキュリティー会社「ゼロゼロワン」が、国内でインターネットにつながる「IoT機器」のセキュリティーを調べるため、独自のシステムを使って機器の種類やソフトウエアのバージョンを判別して、分析したところ、先月までの調査でおよそ20万台が、機器を乗っ取られたり、サービスを停止させられたりする、ぜい弱性=セキュリティー上の欠陥を持ったまま使われていることがわかりました。
またこれとは別にメーカーのサポートがすでに終了した状態で使い続けている比較的古い時期に発売された機器が、およそ25万台あることもわかりました。

<サイバー攻撃の「踏み台」>

ゼロゼロワンによりますと、こうしたIoT機器は、サイバー犯罪者などに勝手に操作されたり、マルウエアに感染させられて、乗っ取られると、サイバー攻撃の「踏み台」として悪用されるおそれもあるということです。
こうしたIoT機器が抱えるサイバー攻撃のリスクについて、サイバーセキュリティーが専門の横浜国立大学の吉岡克成教授に、実際の機器を使った実験で、検証してもらいました。実験では、10年以上前に発売された見守り用のカメラを、ソフトウエアのアップデートを行わずに使用しました。
そして、IDやパスワードを知らない攻撃者が管理画面にログインを試みるという想定で、サイバー犯罪者などが使う「辞書攻撃」と呼ばれるパスワードに使われる頻度が高い単語や文字列のリストを順番に試していく手法で、アクセスを試みました。
すると、わずか数秒で侵入に成功し、カメラに写っている室内の映像が確認できるようになったうえ、ズームなどの操作も行えるようになりました。
さらに、カメラのセキュリティー上の欠陥をついて不正な命令を実行させると、機器を乗っ取ることに成功しました。
そして疑似的なウイルスを送り込むと、カメラに写っていた映像を「機器は感染しました」という英文に切り替えることもできました。
サイバー犯罪者などは、このように機器を乗っ取って攻撃の踏み台にすることで、自身を特定されづらくしているということです。
太陽光パネルと接続してパソコンやスマホなどから発電量を把握できる監視装置を踏み台とした不正送金被害も発生しています。

<サイバー防御か 通信の秘密か>

政府は「能動的サイバー防御」を議論する有識者会議を開催しています。
今月6日に開かれた会議ではこれまでの議論の整理が行われ、電気や鉄道などの重要インフラを担う事業者に対して、サイバー攻撃の被害報告を義務化することに加え、電気通信事業者に対して協力を求め、一定の条件のもとで通信情報を利用して分析することが必要だとしています。
一方で憲法が保障する「通信の秘密」との整合性が議論となっています。サイバー攻撃から国民を守るという公共の福祉のためには「通信の秘密」は必要かつ合理的な制限を受けるとしています。
しかし通信情報を利用する範囲について、特に外国が関係する通信の分析が必要としつつ、メールの中身をすべて見るようなことや、データすべてを人間の目で判断することは適切ではないと指摘したうえで、行政側の対応を監視する独立機関の設置を求めています。
また、安全なサイバー空間を守る観点から、攻撃元のサーバーを無害化することは必要だとして、状況に応じた措置を即時的に実施する制度の構築が求められるとしています。

サイバーセキュリティについて政府が色々な対策を検討してくれることはとても有難いことです。
安全性とプライバシーの両立はバランス取りが難しく、充分な議論を尽くして欲しいものです。
今回の実験に使われたようなIoT機器をお使いの皆さんはソフトウエアのアップデート確認をしてみてください。
最近は防犯のために、監視カメラや見守りカメラをお使いの方が増えていると思います。
こういった機器は一度設定するとそのまま使い続ける場合も多く、アップデートを見落としがちです。

★-------------------------------------------★
【アルテミスBP パートナー様募集!】
セキュリティベンダー様、SIベンダー様、OA機器ディーラー様、通信機器ディーラー様、ソフトウェア開発会社様、xSP様、iDC様など、ネットワークセキュリティ事業を共に展開するパートナー様を広く募集しています。

私たちだからできる「ワンストップサービス」も魅力の1つです!



⇒ 専用ページはこちら
★-------------------------------------------★