IOTセキュリティ 2

外部から覗き見されるIoT

IoT(モノのインターネット化)の勢いが止まりません。インターネットに接続される機器が急速な勢いで増えています。

離れた場所から現地の様子を監視するネットワークカメラ、窓やドアの開閉を検知、制御するホームネットワークシステム、無人でも玄関のドアの開閉を可能にするスマートロック、一人暮らしのお年寄りなどのくらしを見守るセンサー、起きる時間になると自動的に開くカーテン、帰宅する前から室温を上げたり下げたりできるエアコンなど、身の回りには、インターネットに接続できる機器がたくさん増えました。

これらの機器は、インターネットに接続されている以上、世界中の誰からもアクセスできる状態にあるものがほとんどです。

インターネットには様々な目的でたくさんのネットワークカメラが接続されています。街角に設置された防犯カメラ、台風や大雨の際、川の水位を監視する氾濫を予防するためのカメラ、外出時にペットや子供の様子を見守るためのカメラ。

これらのネットワークカメラは、カメラの所有者とはまったく関係のない第三者が映像を見られる状態にあったり、不正アクセスされた事例がたくさんあり、テレビや新聞でしきりに報道されています。

監視カメラ覗き見? パスワード未設定が原因か

これらの覗き見の原因は、この記事にもあるように、パスワードに問題をかかえる場合が多いです。

具体的には、ネットワークカメラが工場出荷された際に設定されている初期パスワードから変更せずに、もしくは、パスワードを全く設定しないで、ネットワークカメラをインターネットへ接続したことが原因です。

インターネットは世界中とつながっています。ネットワークカメラにも、IPアドレスというネットワーク上の住所となりえる番号が割り振られています。世界中のハッカーがプログラムなどのツールを使って、無作為にセキュリティの弱いネットワークカメラを探しています。

工場出荷時に設定され、悪用されやすいログインIDとパスワード

工場出荷時に設定され、悪用されやすいログインIDとパスワード 出典: 独立行政法人情報処理推進機構(IPA)

プログラムを使って、ネットワークカメラに向かって、工場出荷時に設定される典型的なログインIDとパスワードを使ってログインできれば、あとはハッカーの思うツボです。ハッカーがそのネットワークカメラの映像を密かに楽しんだり、IPアドレスとログインIDとパスワードを世界中に公開したりなど、ネットワークカメラの所有者の意思とはまったく関係なく機器をコントロールされます。

経済産業省所管で、公的な立場からセキュリティ情報を発信している独立行政法人情報処理推進機構(IPA)では、ネットワークカメラの導入、運用時に気をつけるべき点をまとめた『ネットワークカメラシステムにおける情報セキュリティ対策要件チェックリスト』を発表しました。

プレス発表 統一基準で求められる要件を満たした『ネットワークカメラシステムにおける情報セキュリティ対策要件チェックリスト』を公開

具体的には、
・ログ機能を有効にして、カメラに連続してログインを試みる不審な動きを検知できるようにする
・カメラの利用者を管理する
・推測困難なパスワードを設定する
・最新版のファームウェアを適用する
など、基本的ですが見落としがちなことが細かくまとめられています。

このチェックリストの内容は、ビルや施設(工場、倉庫)、河川監視(VPN網)の監視カメラシステムを対象としたもので、家庭用のネットワークカメラを運用する場合には、チェック項目が多すぎると感じるかもしれませんが、これらのチェック項目をつぶしていけば、世界のハッカーから不正アクセスされそうになっても、十分に対応することができます。

今回はネットワークカメラだけを取り上げましたが、その他のIoT機器も同様で、適切に設定していなければ外部から勝手に機器をコントロールされる恐れがあります。

IoTは、パソコンやスマートフォンよりもあとから登場した機器で、一般消費者にとってはなじみが薄く、セキュリティ設定に関してもどのように対応すればよいか戸惑っているかもしれません。イノベーションに社会の対応が追いついていない事例のひとつで、新聞やニュースをにぎわす事件や事故が起きるたびに後追いで対策が充実いくのが実情です。

次回は、ネットワークカメラカメラの覗き見以上に社会に甚大な影響を及ぼしかねないIoTのサイバー攻撃についてみていきます。