現代の製造業はIoT技術によって革新が進んでいますが、これに伴うリスクも無視できません。企業が使用する無数のスマートデバイスは、新たなサイバー攻撃の温床となっています。
国立情報学研究所の最新研究によると、IoTデバイスへのサイバー攻撃が急増しており、これを軽視するわけにはいきません。
それでは、サイバー犯罪者はどのようにIoTデバイスにサイバー攻撃を仕掛け、企業はどのような被害を受けているのでしょうか。本記事では、IoTを狙ったサイバー攻撃の事例と事例から学ぶ対策ポイントを解説します。
IoTを狙ったサイバー攻撃の事例5選
さっそくですが、IoTを狙ったサイバー攻撃の事例を見ていきましょう。
1.簡単なパスワードがきっかけでTwitterやNetflixが停止
2016年に起きた「ミライボットネット」は、「ミライ」と呼ばれるコンピューターウイルスが、セキュリティ対策が不十分なIoTデバイスに感染を広げていきました。ウイルスは、デバイスに設定されている工場出荷時の簡単なパスワードを利用して、不正アクセスすることで感染を拡大させたのです。
一度感染すると、そのデバイスはウイルスの指示に従って動作するようになります。攻撃者は、ウイルス感染したデバイスに対し、大手サイトに向けて大量のアクセスを送り付けるという「DDoS攻撃」を指示しました。結果、TwitterやNetflix、CNNなどの有名サイトがアクセスできなくなる被害が出たのです。
攻撃の規模が非常に大きかったため、世界中で大きな話題となりました。
2.セキュリティカメラの侵害事例
リング社が提供するセキュリティカメラは、家庭の防犯を目的として多くの人に利用されています。しかし、ハッカーがリングカメラに不正にアクセスし、大きな問題となった事件が起きました。
ハッカーはリングカメラに設定されていた簡単なパスワードを当ててアクセスに成功。工場出荷時の状態では、高度なパスワードが設定されていないなど、セキュリティ対策が不十分だったのです。
ハッカーは侵入に成功すると、リングカメラに内蔵されているカメラとマイク、スピーカーを不正に操作しました。具体的には、リングカメラを通して家族の様子を盗み見たり、マイクとスピーカーから声をかけて脅したりする行為に及びました。
この事件は、家庭で使われるIoTデバイスのセキュリティ対策の重要性を改めて認識させるものとなりました。デバイスにはきちんとしたパスワードを設定することはもちろん、メーカー側でも製品の初期設定で高いセキュリティを確保することが求められます。
3.IoTデバイスを破壊するマルウェア
2019年に発見されたSILEXマルウェアは、IoTデバイスに特化した破壊的な攻撃を行うマルウェアでした。このマルウェアは、IoTデバイスに設定されている工場出荷時の簡単なパスワードを当ててアクセスし、感染を広げていきました。
一度感染すると、そのデバイスの重要なデータを消去したり、ネットワーク設定を壊したりと、デバイスが全く使えなくなるよう破壊します。さらに、ファームウェア(デバイスの基本ソフト)まで消去されるため、修理するのが非常に難しい深刻な被害が出ました。
この事件は、IoTデバイスのセキュリティ対策が不十分だと、このようなひどい攻撃を受ける危険性があることを物語っています。
4.システムの脆弱性を狙った攻撃
Nortek社が提供するアクセス制御システムは、企業やビル、施設の入退室を管理するために使用されています。しかし、その中の一つの製品に、大きな脆弱性(セキュリティ上の穴)が見つかってしまいました。
通常はパスワードなどで認証を行う必要がありますが、この製品は認証をせずに不正にアクセスができました。つまり、誰でもインターネット経由で製品を自在に操作できてしまう危険な状態だったのです。
実際に、ハッカーはこの脆弱性を狙い、アクセス制御システムを容易に乗っ取りました。ハッカーはリモートから製品をコントロールし、施設の入口のドアの開閉を勝手に操作したり、ウイルスを仕込んだり、サービスを妨害する攻撃を実行したりしたのです。
5.医療機器を狙ったサイバー攻撃
フィリップスは医療機器の大手メーカーですが、同社の製品にハードコーディングされた固定のパスワードが設定されていたという深刻な脆弱性が発覚しました。ハードコーディングされたパスワードとは、ソフトウェア自体に直接組み込まれた変更できないパスワードのことです。
この種のパスワードは一度悪意のある者に知られてしまえば、製品が不正にアクセスされてしまう危険性があります。医療機器の場合、患者の個人情報や健康情報がハッカーに渡ることで、プライバシーが深く侵害されるだけでなく、データが改ざんされることで、患者の命に関わるリスクさえ生じかねません。
医療機関では、この問題を受けてIoT機器のセキュリティ環境の見直しが急務となりました。まずは機器のセキュリティ設計を抜本的に改善し、不正アクセスを確実に防ぐ対策が必要不可欠です。
患者の命に関わる医療機器では、セキュリティ対策が疎かにできません。この問題を機に、IoTデバイスに対するセキュリティ意識が医療業界全体で高まったと言えるでしょう。
事例から学ぶIoTを狙ったサイバー攻撃を防ぐポイント
IoTデバイスがサイバー攻撃の標的になる事例が増加する中で、企業が取るべき対応策を理解することが重要です。以下の対策は、これまでの攻撃事例から学んだ教訓に基づいています。
強力な認証の設定
IoTデバイスのセキュリティ対策における最も基本的な点は、強力な認証システムを設定することです。工場出荷時のデフォルトパスワードはシンプルすぎて推測されやすいため、必ず変更しなければいけません。
代わりに、英数字や記号を組み合わせた複雑で予測が困難なパスワードを設定しましょう。さらに効果的な対策として、多要素認証(2FA)の導入が挙げられます。2FAは「知っている情報(パスワードなど)」と「持っている物理的なもの(スマートフォンに送られるワンタイムコードなど)」の2つを組み合わせることで、より強固なセキュリティを実現します。
仮にパスワードが漏えいしても、2つ目の認証があればデバイスへの不正アクセスを防げます。さらに生体認証を加えるなど、複数の認証手段を組み合わせることでリスクは最小限に抑えられます。
定期的なソフトウェアのアップデート
ソフトウェアの脆弱性を狙ったサイバー攻撃は、IoTデバイスにとって大きな脅威です。メーカーから提供されるソフトウェア更新には、セキュリティホールを修正するパッチが含まれることが多いため、常に最新の状態に保つことが重要です。
デバイスのファームウェアのみならず、付属アプリなどの関連ソフトウェアも、定期的に更新を行う習慣をつけましょう。
自動アップデートに設定するか、手動でチェックするなどして、新しい脆弱性が見つかり次第すぐにアップデートを適用します。これにより、攻撃者に脆弱性を突かれるリスクを最小限に抑えることが可能です。
ネットワークのセグメンテーションと監視
ネットワークをいくつかの領域に分割する「セグメンテーション」は、サイバー攻撃による被害を局所的に抑える効果があります。攻撃者がネットワーク全体へのアクセスを得ることを防ぎ、影響範囲を最小限に食い止められるのです。
さらに、ネットワークを常時監視することで、不審な通信や異常な動きを早期に検知できます。侵入検知システム(IDS)や侵入防止システム(IPS)などのセキュリティ製品を使い、ネットワークの監視態勢を構築することが重要です。
セグメンテーションと監視を組み合わせることで、サイバー攻撃を素早く特定し、対処できます。被害を最小限に食い止めつつ、原因の特定と再発防止対策を迅速に講じることが可能となります。
エンドポイントの保護
IoTデバイスは多くの場合、ネットワークの接続先の「エンドポイント」となります。ネットワーク全体を守るためには、各エンドポイントデバイスのセキュリティ確保が欠かせません。
具体的には、デバイスにアンチウイルスソフトをインストールすること、OSやアプリの定期的なアップデートを行うことが基本となります。物理的なセキュリティ対策も重要で、デバイスの持ち出しや盗難を防がねばなりません。
さらに、エンドポイント検知・対応(EDR)ソリューションの活用で、リアルタイムの監視と自動防御を実現できます。
従業員教育
IoTデバイスがビジネスの現場で広く活用されるようになり、これらを狙ったサイバー攻撃のリスクが高まっています。企業がIoTデバイスのセキュリティを確保するためには、従業員一人ひとりの高い意識が不可欠です。このため、IoT機器の潜在的な脅威と対策方法を周知徹底するための教育が欠かせません。
具体的な教育内容としては、まずIoTデバイスが本来的に抱えるセキュリティ上の脆弱性を理解させることが重要です。ランサムウェア感染や、デフォルトパスワードの不正利用などから身を守る必要性を認識してもらいます。
次に、安全なIoTデバイスの導入と運用方法を教育します。強固なパスワードの設定、ソフトウェア定期更新、ネットワークの分離、アクセス制限の設定などの対策について理解してもらいましょう。
これらの教育を通じ、全従業員がIoTデバイスに潜むリスクと適切な対処法を身に付けられるようになります。技術的な対策に加えて、人的能力を高めることで、企業のIoTセキュリティ体制は大きく強化されることでしょう。
まとめ
本記事では、IoTデバイスを狙ったサイバー攻撃の実例を紹介し、企業や個人が取るべき対策について解説してきました。身近なモノがインターネットにつながる時代において、サイバーリスクへの備えは必須です。
サイバー犯罪者は、デフォルトの簡単なパスワードやソフトウェアの未更新状態を攻撃の糸口とします。そのため企業はIoTデバイスの設定時から、強固な認証とソフトウェア最新化を徹底する必要があります。
しかし、たとえセキュリティ対策を施しても、攻撃者の手口は日々進化しています。万が一の被害に備え、ネットワークの分離や監視体制の強化など、被害を最小化する対策も重要なのです。
最悪の事態に陥らないためには、自社の機密情報がダークウェブへ流出していないかをいち早く検知することが何より大切です。ダークウェブには企業の機密情報や従業員の個人情報が漏洩して流通しています。この隠れた犯罪市場を常時監視することで、万が一の事態に迅速に対処できるのです。
サイバーセキュリティに万全を期すため、ぜひ一度ダークウェブ調査サービスをご利用ください。
弊社はダークウェブ調査(無料)を実施しています。
こちらからお申し込みください。
