] 「サイバー攻撃対策って自宅でも必要なのですか?」専門家に率直な疑問をぶつけてみた(その1)。 | SECURIE(セキュリエ)-BEST SECURITY FOR EVERYONE-

事例Use case

「サイバー攻撃対策って自宅でも必要なのですか?」
専門家に率直な疑問をぶつけてみた(その1)。

2018.10.23

最近、企業やSNSなどがサイバー攻撃をうけて多くの個人情報が漏えいしたり、WebカメラのようなIoT機器もサイバー攻撃の対象となってサーバーがダウンするようなことが数多く起きています。このようなニュースで見聞きするようなサイバー攻撃が、私たちの家庭まで迫っているって本当でしょうか?サイバーセキュリティの専門家に話を聞いてみました。

case_20181023_1.jpg
山本和輝
BBソフトサービス株式会社 セキュリティエバンジェリスト
フィッシング対策協議会 運営委員
一般社団法人セキュリティ対策推進協議会 理事

――サイバー攻撃が身近に迫っていると聞いてもピンときません。一体、何がどのように問題になっているのですか?

最近ではサイバー攻撃の対象がパソコンだけではなく、Webカメラやスマート家電など家庭のIoT機器まで拡がっていることを知らない方が多いのです。
IoT機器のセキュリティの問題については多くのニュースで報道されているのですが、"まだ自分とは遠い世界の出来事"のように感じていらっしゃる方も、まだまだたくさんいらっしゃるのも事実です。

IoTは、"Internet of Things"の略語で、様々なモノがインターネットに接続されることでコントロールされる状態を指します。未来の現象のように感じる人も中にはいるかもしれませんが、"あらゆるものがインターネットにつながる世界"は、実はもう目の前どころか、実際に皆さんのご家庭の中にしっかり浸透しています。

ご自宅にあるデバイスを思い浮かべてみてください。旦那さんがスマートフォンとPCを、そして奥様がスマートフォンやタブレットを使ってはいませんか。さらにお子様にスマートフォンを持たせているのであれば、すでに5台ものIoT機器がご自宅に存在している状態となります。

さらに、据え置きのゲーム機やモバイルゲーム、イマドキのテレビやビデオデッキもインターネットにつながっています。このようにざっと見渡しただけで、少なくとも10台ほどのIoT機器が一般的なご家庭のネットワーク上に存在しています。

IoT機器は急速に進化を続け、どんどん便利なモノになっていきます。すでに"スマートホーム"や"スマート家電"という言葉もポピュラーになっています。自宅に帰る前にスマホからエアコンの電源をオンにすることができますし、お子さんがひとりで学校から帰ってきたら、職場にいる親御さんのスマートフォンにアラートが表示されるなんてことも可能になっています。

遠隔地にいながら自宅の家電製品が操作できたり、自分から能動的に行動しないでも、必要な情報が入手できたりと、利便性が向上する一方で、犯罪者にとっても同様に便利な世界になっているということを意識しなくてはなりません。

サイバー攻撃の観測を行っているNICTの発表によれば、その数は2016年から2017年にかけて急激に上昇。この事実から、IoT機器の普及とサイバー攻撃の被害拡大には密接な関係があることが見て取れます。

――スマホやタブレットを持っていなければ大丈夫なのでは?

実は、IoT機器というのは何もスマホやタブレットに代表される電子デバイスだけではありません。先ほども説明したゲーム類もそう。インターネットに接続される機器は、すべてIoT機器となります。わかりやすくインターネットにつながっている機器だけでなく、白物家電やインフラ、自動車の中にもIoT機器は存在します。

インフラがIoT機器?とピンとこない方も多くいらっしゃるかと思いますが、近年、"スマートメーター"がついている住宅が増えているかと思います。"スマートメーター"は、電力会社のHPにアクセスすることで自宅の電気使用量がグラフでわかるというものですが、これこそがまさに、自宅と電力会社がインターネットで接続しているからこそ可能なシステムであることがご理解いただけるかと思います。

ちなみに現時点において、国内で購入可能なIoT機器は約300種あるといわれています。ロボット掃除機や音楽データがダウンロードできるオーディオ機器、イマドキはラジオもインターネットを経由しています。

TVやリモコン類、話題のスマートスピーカーやスマート電源、体重計や体温計など、計測値の記録、分析ができる機器はすべてIoT機器の範疇に入るといっても過言ではありません。オリンピックイヤーである2020年には、これらの家庭用のIoTデバイスが世界で250億台を突破するとの予想もあります。

――自宅の中にインターネットを介して接続できるIoT機器が自宅にたくさんあることはわかりました。それ以前に、そもそもサイバー攻撃とはどういうもので、どうしてIoTデバイスが問題になるのか教えてください。

サイバー攻撃とはネットワークを通じ、特定の組織や企業のサーバーに侵入して、データを盗んだり改ざんを行ったりする、まぎれもない犯罪行為です。さらにウィルスソフトを仕込んだり、大量のデータやメールを送り付けたりすることでサーバーをダウンさせるなど、様々なパターンが存在しています。

皆さんのご自宅にあるパソコンや電子デバイスがターゲットになるケースもありますが、圧倒的多数を占めるのが、自宅のパソコンを介して、最終的な目的である企業や官公庁のサーバーに攻撃を仕掛けるというパターンです。

これは2012年に発生した事件ですが、大手プロバイダが支給していたルーターの脆弱性が発見され、そこに目を付けた犯罪者による大規模なサイバー攻撃が発生しました。非常に大きな事件だったのですが、メーカーのWEBサイトに"ファームウエアアップデートのお知らせ"が掲載されたのみ。実はその裏で大きな問題が生じていたことは、それほど多くの方が認識していませんでした。

実は出荷時、ルーターに設定されていた接続情報が外部から取得できる問題があったのです。海外の犯罪者が盗んだ他人のISP接続情報を勝手に使って、特定の企業のサーバーに攻撃を続け、サービスをダウンさせました。家庭用PCからの攻撃といっても侮ってはいけません。ひとつ一つの力は小さいかもしれませんが、数がまとまるととんでもない力を発揮します。

同様のことが、無防備なIoTデバイスを介して実行される可能性があります。

スマートフォンやPCは比較的、処理能力が高くセキュリティソフトを動作させることができるのですが、同じネットワークにつながっているWEBカメラやルーターについては、セキュリティ面の弱さがしばしば問題となっています。そもそも、それらの機器にはセキュリティソフトをインストールすらできません。

脆弱な機器が一般家庭のネットワーク上に存在することに犯罪者は目をつけて、それらを自分の支配下に置こうと考えます。そして遠隔操作によって特定の企業を攻撃したり、場合によっては、中央官庁にサーバーに侵入して国家機密を盗みにいったり、そういったスパイ映画さながらの犯罪行為が充分に実現可能な状態になっているのです。

その2へ続く