IoT機器きき 20万まん台だい超ちょうにサイバー攻撃こうげきの高こうリスク 更新こうしんの徹底てっていを

そうした中なか、「IoT機器きき」と呼よばれる、インターネットにつながるルーターや監視かんしカメラなどについてセキュリティー会社かいしゃが調査ちょうさしたところ、およそ20万まん台だいが外部がいぶからアクセス可能かのうで、サイバー攻撃こうげきを受うけるリスクが高たかい状態じょうたいにあることがわかりました。

専門せんもん家かはソフトウエアの更新こうしんやパスワード管理かんりの徹底てっていなど、注意ちゅういを呼よびかけています。

IoT機器きき 20万まん台だい超ちょうに「ぜい弱ぜいじゃく性せい」

東京とうきょうのセキュリティー会社かいしゃ「ゼロゼロワン」が、国内こくないでインターネットにつながる「IoT機器きき」のセキュリティーを調しらべるため、独自どくじのシステムを使つかって機器ききの種類しゅるいやソフトウエアのバージョンを判別はんべつして、分析ぶんせきしたところ、先月せんげつまでの調査ちょうさでおよそ20万まん台だいが、機器ききを乗っ取のっとられたり、サービスを停止ていしさせられたりする、ぜい弱ぜいじゃく性せい＝セキュリティー上じょうの欠陥けっかんを持もったまま使つかわれていることがわかりました。

機器ききの種類しゅるい別べつでは、セキュリティー対策たいさくに利用りようされる「UTM機器きき」が8万まん9000台だい余あまり、「アクセスポイント」が5万まん9000台だい余あまり、「ルーター」がおよそ1万まん7000台だい、データの共有きょうゆうに利用りようされる「NAS」が7000台だい余あまり、ネットワークカメラがおよそ5000台だいなどとなっています。

20万まん台だいのうち、およそ半分はんぶんはメーカーのサポート期間きかんがすでに終了しゅうりょうしていてぜい弱ぜいじゃく性せいに対応たいおうできていないもので、残のこりの半分はんぶんが、メーカーが対応たいおうしたものの利用りよう者しゃが適切てきせつにアップデートせずに使つかっていました。

またこれとは別べつにメーカーのサポートがすでに終了しゅうりょうした状態じょうたいで使つかい続つづけている比較的ひかくてき古ふるい時期じきに発売はつばいされた機器ききが、およそ25万まん台だいあることもわかりました。

ゼロゼロワンによりますと、こうしたIoT機器ききは、サイバー犯罪はんざい者しゃなどに勝手かってに操作そうさされたり、マルウエアに感染かんせんさせられて、乗っ取のっとられると、サイバー攻撃こうげきの「踏み台ふみだい」として悪用あくようされるおそれもあるということです。

ゼロゼロワン 萩原はぎはら雄一ゆういち社長しゃちょう

リスクが高たかい機器ききの数かずは決けっして少すくなくないと感かんじているし、基本きほん的てきに毎週まいしゅう、毎週まいしゅう、数かずは増ふえていく傾向けいこうだ。アップデートをせずに使つかい続つづけるとリスクがあると実感じっかんしてもらうことが大事だいじだと思おもうし、パスワードの設定せっていが不十分ふじゅうぶんな場合ばあいも攻撃こうげきを受うけやすいので気きをつけてほしい。

わずか数すう秒びょうで…

こうしたIoT機器ききが抱かかえるサイバー攻撃こうげきのリスクについて、サイバーセキュリティーが専門せんもんの横浜よこはま国立こくりつ大学だいがくの吉岡よしおか克かつ成なる教授きょうじゅに、実際じっさいの機器ききを使つかった実験じっけんで、検証けんしょうしてもらいました。

実験じっけんでは、10年ねん以上いじょう前まえに発売はつばいされた見守みまもり用ようのカメラを、ソフトウエアのアップデートを行おこなわずに使用しようしました。

そして、IDやパスワードを知しらない攻撃こうげき者しゃが管理かんり画面がめんにログインを試こころみるという想定そうていで、サイバー犯罪はんざい者しゃなどが使つかう「辞書じしょ攻撃こうげき」と呼よばれるパスワードに使つかわれる頻度ひんどが高たかい単語たんごや文字もじ列れつのリストを順番じゅんばんに試ためしていく手法しゅほうで、アクセスを試こころみました。

すると、わずか数すう秒びょうで侵入しんにゅうに成功せいこうし、カメラに写うつっている室内しつないの映像えいぞうが確認かくにんできるようになったうえ、ズームなどの操作そうさも行おこなえるようになりました。

さらに、カメラのセキュリティー上じょうの欠陥けっかんをついて不正ふせいな命令めいれいを実行じっこうさせると、機器ききを乗っ取のっとることに成功せいこうしました。

そして疑似ぎじ的てきなウイルスを送り込おくりこむと、カメラに写うつっていた映像えいぞうを「機器ききは感染かんせんしました」という英文えいぶんに切り替きりかえることもできました。

サイバー犯罪はんざい者しゃなどは、このように機器ききを乗っ取のっとって攻撃こうげきの踏み台ふみだいにすることで、自身じしんを特定とくていされづらくしているということです。

吉岡よしおか教授きょうじゅ

ぜい弱ぜいじゃく性せいのあるIoT機器ききを見みつけることは比較的ひかくてき簡単かんたんで、ぜい弱ぜいじゃく性せいを攻撃こうげきすることも、その手法しゅほうが広ひろく共有きょうゆうされている状況じょうきょうのため、技術ぎじゅつ的てきな敷居しきいがかなり下さがっている。身みに覚おぼえのない重大じゅうだいなサイバー攻撃こうげきに自分じぶんの機器ききが加担かたんしてしまう可能かのう性せいがあり、非常ひじょうに問題もんだいのある状況じょうきょうだ。

利用りよう者しゃ本人ほんにんも自分じぶんがIoT機器ききを所持しょじしているという認識にんしきすらない場合ばあいがある。利用りよう者しゃもセキュリティーの意識いしきを持もって、IDやパスワードの設定せっていを見直みなおしたり、ソフトウエアの更新こうしんがないかを定期ていき的てきに確認かくにんする姿勢しせいを持もつことが必要ひつようだ。

数すう百ひゃく台だいが踏み台ふみだいに

こうしたIoT機器ききがサイバー攻撃こうげきの踏み台ふみだいに使つかわれたと見みられる事例じれいも出でています。

太陽光たいようこうパネルと接続せつぞくしてパソコンやスマホなどから発電はつでん量りょうを把握はあくできる監視かんし装置そうち。

国内こくないのメーカーが開発かいはつしおよそ1万まん台だい販売はんばいされていますが、警察けいさつによりますと、おととし10月つき、この監視かんし装置そうちが攻撃こうげきの踏み台ふみだいとして悪用あくようされ、静岡しずおか県けんの男性だんせいの銀行ぎんこう口座こうざから4回かいにわたってあわせて30万まん円えんが不正ふせいに送金そうきんされたということです。

この監視かんし装置そうちのメーカーによりますと、機器ききのソフトウエアに複数ふくすうのぜい弱ぜいじゃく性せいが見みつかったということで、「機器ききが不正ふせい送金そうきんに悪用あくようされたという事実じじつは把握はあくしていませんが、ぜい弱ぜいじゃく性せいが見みつかったことについては、ソフトウエアを修正しゅうせいし、利用りよう者しゃにはアップデートするよう呼よびかけています」としています。

また、IoT機器ききを踏み台ふみだいにしたと見みられる大だい規模きぼなサイバー攻撃こうげきは海外かいがいでも起おきています。

アメリカ政府せいふやマイクロソフトは、米べい軍ぐん基地きちのあるグアムなどの電力でんりょくや通信つうしんといった重要じゅうようインフラが、中国ちゅうごく政府せいふが支援しえんしたハッカー集団しゅうだんにサイバー攻撃こうげきを受うけたことを、去年きょねん、明あきらかにしています。

アメリカのFBIは、ハッカー集団しゅうだんが、少すくなくとも数すう百ひゃくのIoT機器ききを踏み台ふみだいとして悪用あくようして、セキュリティー侵害しんがいしたとしています。

サイバー防御ぼうぎょか 通信つうしんの秘密ひみつか

こうした中なか、日本にっぽん政府せいふはことし6月つきから、IoT機器ききを踏み台ふみだいにするなどしたサイバー攻撃こうげきについて、通信つうしん情報じょうほうを傍受ぼうじゅするなどして攻撃こうげき元もとをたどり、積極せっきょく的てきに防御ぼうぎょを行おこなったり、場合ばあいによっては攻撃こうげき元もとのサーバーを無害むがい化かしたりする、「能動のうどう的てきサイバー防御ぼうぎょ」を議論ぎろんする有識者ゆうしきしゃ会議かいぎを開催かいさいしています。

今月こんげつ6日にちに開ひらかれた会議かいぎではこれまでの議論ぎろんの整理せいりが行おこなわれ、電気でんきや鉄道てつどうなどの重要じゅうようインフラを担になう事業じぎょう者しゃに対にたいして、サイバー攻撃こうげきの被害ひがいの報告ほうこくを義務ぎむ化かすることに加くわえ、電気でんき通信つうしん事業じぎょう者しゃに対にたいして協力きょうりょくを求もとめ、一定いっていの条件じょうけんのもとで通信つうしん情報じょうほうを利用りようして分析ぶんせきすることが必要ひつようだとしています。

通信つうしん情報じょうほうの利用りようをめぐっては、憲法けんぽうが保障ほしょうする「通信つうしんの秘密ひみつ」との整合せいごう性せいが議論ぎろんとなっていますが、サイバー攻撃こうげきから国民こくみんを守まもるという公共こうきょうの福祉ふくしのためには「通信つうしんの秘密ひみつ」は必要ひつようかつ合理ごうり的てきな制限せいげんを受うけるとしています。

一方いっぽうで、通信つうしん情報じょうほうを利用りようする範囲はんいについて、特とくに外国がいこくが関係かんけいする通信つうしんの分析ぶんせきが必要ひつようとしつつ、メールの中身なかみをすべて見みるようなことや、データすべてを人間にんげんの目めで判断はんだんすることは適切てきせつではないと指摘してきしたうえで、行政ぎょうせい側がわの対応たいおうを監視かんしする独立どくりつ機関きかんの設置せっちを求もとめています。

また、安全あんぜんなサイバー空間くうかんを守まもる観点かんてんから、攻撃こうげき元もとのサーバーを無害むがい化かすることは必要ひつようだとして、状況じょうきょうに応おうじた措置そちを即時そくじ的てきに実施じっしする制度せいどの構築こうちくが求もとめられるとしています。

サイバー攻撃こうげきの調査ちょうさや情報じょうほう発信はっしんを行おこなっている、「JPCERTコーディネーションセンター」の佐々木ささき勇人はやとアナリストは、サイバー攻撃こうげきが増ふえる中なか、事後じご的てきに対応たいおうするだけでは対応たいおうが難むずかしくなっていると指摘してきしています。

佐々木ささきアナリスト

日本にっぽん周辺しゅうへんの有事ゆうじが想定そうていされる中なか、ハッカー集団しゅうだんが日本にっぽんの重要じゅうようインフラなどにサイバー攻撃こうげきをしてきた場合ばあい、機密きみつ情報じょうほうを盗ぬすまれたり、市民しみん生活せいかつに影響えいきょうが出でる可能かのう性せいがあるが、今いまの日本にっぽんのサイバー防御ぼうぎょでは攻撃こうげきを早期そうきに把握はあくするには不十分ふじゅうぶんだ。

サイバー攻撃こうげきが増ふえる中なか、事後じご的てきに対応たいおうするだけではなく、攻撃こうげき者しゃにダメージを与あたえ、活動かつどう規模きぼを小ちいさくすることが求もとめられる。能動のうどう的てきサイバー防護ぼうごは、その有効ゆうこうな手立てだてとなり得える。

サイバーセキュリティーに関にかんする法律ほうりつに詳くわしい明治めいじ大学だいがくの湯淺ゆあさ墾道どう教授きょうじゅは、「通信つうしんの秘密ひみつ」とのバランスをとる、慎重しんちょうな議論ぎろんが必要ひつようだと指摘してきしています。

湯淺ゆあさ教授きょうじゅ

通信つうしん情報じょうほうは国民こくみんにとって極きわめてセンシティブな個人こじん情報じょうほうで、憲法けんぽうでは政府せいふや通信つうしん事業じぎょう者しゃが傍受ぼうじゅすることを厳きびしく制限せいげんしてきた。他方たほう、政府せいふにはサイバー攻撃こうげきの脅威きょういから国民こくみんを守まもるという責務せきむもあり、両者りょうしゃの折り合おりあいをどのようにつけていくのか、国民こくみんも自分じぶん事ごととして考かんがえていかなくてはいけない。