] 小規模企業にも迫るサイバーの脅威。オフィスの複合機や監視カメラがサイバー攻撃の対象に? | SECURIE(セキュリエ)-BEST SECURITY FOR EVERYONE-

事例Use case

小規模企業にも迫るサイバーの脅威。オフィスの複合機や監視カメラがサイバー攻撃の対象に?

2018.12.12

ツイート シェア 送る はてブ

どこのオフィスにもある複合機やWebカメラなど身近な機器がサイバー攻撃の標的に


オフィス内に設置してあるOA機器のセキュリティ対策というと、多くの方が真っ先にPCやサーバのマルウェア対策をイメージすることでしょう。確かに、企業が管理する情報資産の大半を保管するPCやサーバは、真っ先に守るべき対象だといえます。

しかし、かと言って「PCやサーバさえ守っておけば大丈夫。」というわけにもいきません。近年では、複合機やWebカメラといった、一見「え、こんなものが?」と思えるような機器が、実はサイバー攻撃のターゲットになっているのです。

近年の複合機の中には、インターネットを介して稼働状況を監視できたり、インターネット経由でリモートメンテナンスを実施できる機能を備えたものが増えてきています。大半の複合機ユーザーは知らないかもしれませんが、実は今日の多くの機種はPCやサーバと同様、インターネットにつながっているのです。

 「でも、万が一複合機に侵入されたとしても、盗まれるような情報はないのでは?」

そう思う方もいるかもしれませんが、多くの複合機はPCやサーバと同様、内部にディスク装置を備えており、印刷データを保持できるようになっています。もし重要書類の印刷データが複合機内部に保持されているタイミングで攻撃者の侵入を許してしまうと、重大な情報漏えいインシデントにつながる可能性があります。

img3.png
同様にWebカメラや監視カメラなども、インターネットを通じてサイバー攻撃を受ける可能性があります。それどころか、既に世界中の無数の監視カメラがクラッカーによって乗っ取られており、その映像が裏サイト上で筒抜けになっている事実があります。もしオフィス内に設置したカメラが乗っ取られてしまえば、盗撮によって社内の機密情報が大量に漏えいしてしまう可能性があります。

img1.jpgまた、直接の情報漏えい被害がなかったとしても、乗っ取られたカメラが大規模なサイバー攻撃のために悪用されてしまう危険性があります。近年、「ネットワークカメラをボット化する攻撃」が頻発しており、有名なところでは2016年に「Mirai」と呼ばれるマルウェアが、Webカメラをはじめとする大量のIoT機器をボット化して、当時としては史上最大規模のDDoS攻撃※を実行しました。そしてその後も、同じような手口を使ってWebカメラを使ってボットネットを構成し、大規模攻撃を仕掛ける手口が後を絶ちません。

※ DDoS攻撃 :サイバー攻撃の一種。クラッカーが乗っ取ったPCやIoT機器を利用して、ターゲットとなるサーバ等に大量のデータを送りつけて、サービスを停止させる攻撃です。ユーザーが意図せず、気づかないうちにサイバー攻撃に加担することになります。


複合機やWebカメラもPCと同様に「脆弱性」を抱えていることを知っていますか?


では、なぜWebカメラや複合機はこんなに易々と乗っ取られたり侵入されたりしてしまうのでしょうか。その最大の理由は、やはりまだ、ほとんどの方にとって「Webカメラや複合機がサイバー攻撃に遭う」という事実が知られていないことにあります。実は、これらの機器が狙われる危険性については、かなり早い段階からセキュリティ機関や専門家が注意喚起してきましたが、不幸にも広く周知されるまでには至りませんでした。

では、具体的にどのような対策を打てば、これらの機器の安全を確保できるのでしょうか。攻撃者は、Webカメラや複合機が持つセキュリティ上の"穴"、つまり"脆弱性"を狙って攻撃を仕掛けてきます。PCやサーバであれば、アンチウイルスをはじめとするセキュリティソフトウェアを導入し、OSやアプリケーションのセキュリティパッチをきちんと適用していれば、大抵の脆弱性の問題は解決できます。では、Webカメラや複合機はどうでしょうか?

実はこれらの機器も、PCやサーバに負けず劣らず、かなり多くの脆弱性を抱えています。そのため、導入時あるいは導入後にユーザーが明示的に対処しない限り、セキュリティホールを抱えた危険な状態のまま使い続けることになります。

中でも最も多く見られる脆弱性が、管理者アカウントのIDやパスワードの問題でしょう。多くの機器が、工場出荷時の初期値のまま、ID/パスワードを使われているため、攻撃者にとっては不正ログインの恰好のターゲットになっているのです。

img2.jpg本来であれば、単純で破られやすい初期値のパスワードを、ユーザーが複雑で推察されにくいものに変更する必要があるのですが、実態はといえば、どの機器にどんなパスワードが設定されているのか把握できているケースは稀でしょう。それどころか、そもそもオフィス内でどんな機器がインターネットにつながっているかすら、きちんと把握できていないケースが多いのではないでしょうか。特に、社内にITやセキュリティの専門家がいない中小企業やSOHOではなおさらです。


「SECURIE」でオフィス内のすべての機器の脆弱性を可視化しトラブルを防止


こうした課題を解決するために弊社が提供しているのが、セキュリティサービス「SECURIE」です。専用のルーター機器をネットワークにつなぐだけで、オフィス内でインターネットにつながっている機器をすべて洗い出し、それらがどのような脆弱性を抱えているかを調べ上げ、さらにはそれを修正するためのアドバイスまで提示してくれます。

通常、複合機やWebカメラといった機器の脆弱性を調べ上げて対処するには高度な専門知識が必要ですが、「SECURIE」なら専門知識が一切なくともこうしたセキュリティリスクに効果的に対処できるようになります。しかも、10名までのオフィスなら年額37,000円(税抜)と、極めて低いコストで利用できるようになっています。情報セキュリティ対策に多くの予算や人手を掛けられない中小企業やSOHO事業者にとっては、まさに打って付けのソリューションだといえるでしょう。

これから本格的な「IoT時代」に突入していくと、この種のセキュリティリスクはさらに高まることが予想されます。取り返しの付かない事態を招いてしまう前に、「SECURIE」のような対策を導入することで早めの対策を打っておきたいところです。