IoT機器のセキュリティ対策を考える

情報セキュリティコラム第26回

IoT機器のセキュリティ対策
を考える

~身近な機器がインターネットにつながることの脅威~

  1. トップ
  2. 情報セキュリティコラム「The ANGLE」
  3. 第26回 IoT機器のセキュリティ対策を考える

IoT機器(Internet of Things)を取り巻く環境

IoT(Internet of Things)はモノのインターネットと呼ばれ、インターネットなどを通じて様々な機器が相互に接続されるだけではなく、データを収集・分析することで新たな価値を創出する仕組みのことを示します。IoTの技術は現在、多くの業種や分野で活用されています。
一般消費者の多くが利用するIoT機器としては、スマートフォンやタブレット型端末をはじめとしてインターネット接続できる家庭用テレビゲーム機や、ウェアラブル端末などがあります。またIoT機器は一般消費者だけではなく、企業においても幅広い用途で使用されており、数も年々増加しています。


IoT機器がネットワークに接続されることで、遠隔地にある機器の状態把握や、機器自体の操作を行える様になる一方、インターネットを経由し悪意を持つ第三者から不正アクセスを受けるリスクもあることを認識しておく必要があります。
本コラムではIoT機器の利用において発生した被害の事例、IoT機器特有の性質、IoT機器を利用する際や開発する際に気を付けたいポイントを説明します。

IoT機器の脆弱性を利用した被害とIoT機器に対するサイバー攻撃の事例

IoT機器の脆弱性を利用した被害の事例や、IoT機器に対するサイバー攻撃の事例を3つご紹介します。

[スマートキーを悪用した自動車の窃盗]

リレーアタックによる自動車の窃盗

リレーアタックによる自動車の窃盗

図1:リレーアタックによる自動車の窃盗

最近の自動車で利用されているスマートキーですが、このスマートキーの脆弱性によって自動車の盗難事件が発生しています。スマートキーは鍵を取り出さずとも自動車の解錠や施錠ができる仕組みであり、鍵穴を必要としないためピッキング対策になるなどの利点がありますが、車とスマートキーの間で利用されている電波を悪用した犯罪が発生しています。
スマートキーに向けた自動車からの電波は微弱なものであり、通常であれば一定の距離を置くと電波は利用できないのですが、この電波を不正に増幅させる機器を使用することで、車のドアの鍵を開ける動作(ドアに近づく、触れる等)をしたときに、家の中にあるスマートキーが車の近くにあるように装うことができます(リレーアタックと呼びます)。これによりドアの解錠、更にエンジンを始動させて運転できる状態になります。便利なスマートキーですが、利用している技術を悪用されて被害が発生してしまう事例です。なおスマートキーを金属製の箱に入れることで電波を遮断することができ、リレーアタックを防ぐことができます。

[監視カメラや電光掲示板の乗っ取り]

ハッキングのメッセージが表示された河川の監視カメラの画像(イメージ)

図2:ハッキングのメッセージが表示された河川の監視カメラの画像(イメージ)

日本の河川の監視カメラやアメリカの交通情報を表示する電光掲示板がハッキングされる被害も発生しています。
いずれも対象のIoT機器におけるセキュリティ対策が不十分であったことにより、重要な情報を表示する監視カメラの画像や電光掲示板が外部の第三者により書き換えられ、不適切な情報が表示された事例です。

[IoT機器をターゲットとしたマルウェア Mirai]

2016年、ネットワークカメラやルータ等、家庭内でも利用されるIoT機器がMiraiと呼ばれるマルウェアに感染しました。Miraiに感染した大量のIoT機器がTwitterやAmazonなどのサービスに対し大規模なDDoS攻撃を仕掛け、サービスが機能不全に陥る事態が発生しました。MiraiによってIoT機器自体が使用不可になるわけではありませんが、個人や企業の保有する機器が気づかないうちにサイバー攻撃の加害者側になってしまう恐れがあることを示す事例です。

上記の事例のようにIoT機器に脆弱性が存在すると、機器を通じて提供されるサービスを利用できなくなるケースや、予期しない機器の動作によって人命や健康が脅かされるケースが発生する恐れもあります。このようにIoT機器の増加や利便性の向上とともに、IoT機器が及ぼす影響範囲も拡大しており、IoT機器に対するセキュリティ対策は必要不可欠な状況と言えます。

セキュリティ対策を考慮する際に押さえるべきIoTの6つの性質

IoT機器に対するセキュリティ脅威が増えてくる中、IoT機器やシステムの供給者及び利用者を対象とした適切なセキュリティ対策の考えを示したガイドライン[1]が2016年7月に公開されました。
IoTセキュリティガイドラインではIoT機器やシステム・サービスについて、セキュリティ確保の観点から求められる基本的な取り組みを明確化しています。
このガイドラインにも記載がありますが、IoT機器にセキュリティ対策を講じる際には、下図に示すIoT機器特有の性質を考慮しておく必要があります。IoTセキュリティガイドラインで説明されている「IoT特有の6つの性質」について、1つずつ確認していきたいと思います。

IoT特有の6つの性質

IoT特有の6つの性質

図3:IoT特有の6つの性質

[性質1. 脅威の影響範囲・影響度合いが大きいこと]

IoT機器が攻撃を受けると機器単体の故障や被害は勿論、ネットワークを経由しその影響は広く波及することになります。更に冒頭に述べたように年々IoT機器の利用台数が増えており影響範囲は広がるばかりです。自動車の操作制御を乗っ取られた場合には、ハンドル操作によってガードレールに衝突もしくはブレーキが操作不能により、運転者や同乗者の人命にも影響を与える可能性があり、影響度合いも大きいことが挙げられます。

[性質2. IoT機器のライフサイクルが長いこと]

IoT機器のライフサイクルは10数年にわたるものがあり、機器開発時に実施したセキュリティ対策が時代遅れの内容になってしまうことが挙げられます。一つの例としてパスワードが挙げられます。開発当初は十分な長さのパスワードであったものが、10数年後には簡単に破られるパスワードになっている可能性もあります。

[性質3. IoT機器に対する監視が行き届きにくいこと]

IoT機器の多くはモニターがなくマルウェア感染や機器の故障などの問題が発生していることを目視で確認することが困難な場合があります。そのため、問題の発生に気付かない、または気付くのが遅れるという可能性があります。

[性質4. IoT機器側とネットワーク側との環境や特性の相互理解が不十分であること]

IoT機器とネットワークを接続するためには、それぞれの通信仕様を理解して対応する必要がありますが、現状は相互の理解や共通化があまり進んでいない状態であると言えます。またIoT機器を接続するネットワーク側にセキュリティ対策が依存している場合、IoT機器側の安全性や性能を満たすことができなくなる可能性があります。

[性質5. IoT機器の機能・性能が制限されること]

PCやサーバとは異なり、センサーのようにリソースが限られるIoT機器には、十分なセキュリティ対策を実施出来ない場合があります。

[性質6. 開発者が想定していなかった接続が行われる可能性があること]

これまで外部に繋がっていなかった分野の機器がネットワークに接続することで、IoT機器メーカやシステム、サービスの開発者が当初想定していなかった影響が発生する可能性があります。例えば、従来は閉じた環境下で利用されてきた機器は特定少数のアクセス及び正常な通信のみを受けていましたが、不特定多数からの同時アクセスや、悪意のある通信を受けた際に予期せぬ影響が発生するというものです。

IoT機器のセキュリティ対策を考える

「IoT機器に求められるセキュリティ」で述べたように、IoT機器には特有の性質があり、それらを考慮したセキュリティ対策が必要になります。IoT機器利用者とIoT機器開発者では対応が異なるため、それぞれについて説明します。

【IoT機器利用者】

利用者に考慮していただきたいセキュリティ対策のポイントをいくつかご紹介します。


これ以外にも、総務省が発行するIoTセキュリティガイドライン[1]の「第3章 一般利用者のためのルール」も併せて確認していただくことをお奨めします。

【IoT機器開発者】

IoT機器を開発・提供する際には、開発事業者がIoT機器特有の性質を理解し、セキュリティ対策を考慮した設計・開発を実施することが重要です。
IoT機器に対するセキュリティ標準としては、総務省の「IoTセキュリティガイドライン」[1]や、IPAの「つながる世界の開発指針」[2]など様々なガイドラインが発行されています。製品分野別では、車載・IoTゲートウェイ・金融端末(ATM)、決済端末(POS)などのセキュリティガイドライン[3]が展開されており、対象となる製品は分野別のガイドラインにも準拠する必要があります。また日々生まれる新しい技術に対してもセキュリティガイドラインは発行されるため、セキュリティの情報収集は常日頃から実施して、設計への反映を検討する必要があります。

まとめ

本コラムでは、IoT機器を取り巻く環境や発生しているサイバー攻撃の事例、IoT機器特有の性質やIoT機器のセキュリティ対策について述べました。
IoT機器を利用する際には、IoT機器特有の性質を利用者自身も理解し、基本的な対策を実施しておくことが重要です。
またIoT機器を開発・提供する際には、開発事業者がIoT機器特有の性質を理解し、セキュリティ対策を考慮した設計・開発を実施することが重要です。IoT機器を悪用されることで、被害者だけではなく加害者となる可能性もあるため、セキュリティ対策の考慮が必要です。ただし、世の中のセキュリティに関する技術は日々変化しており、実施しているセキュリティ対策が時代遅れのものになっていることも考えられます。またセキュリティガイドラインも技術の進歩や環境の変化に応じて更新されており、その内容を把握し、対策を実施することは開発者にとっては容易なことではありません。
そこで当社では、日々変化するIoT機器のセキュリティ対策に精通したエキスパートがお客様の設計・開発を支援するサービスをご用意しています。

NEC IoTセキュリティ設計支援サービス
IoTシステムに対する脅威分析やリスク評価など、数多くの実績に基づいた設計支援サービスを提供します。

NEC IoTセキュリティ診断サービス
新セキュリティ基準へのIoT機器の適合検証を支援し、お客様のより安全な製品のリリースをサポートします。

また、当社はIoT機器だけではなく、IoT機器と繋がるシステム全般についてもお客様の課題を解決するためのご支援をしています。
NECソリューションイノベータへお気軽にお問合せください。

掲載日:2022年2月25日
中村良樹(なかむらよしき)

執筆者プロフィール

中村良樹(なかむらよしき)

所属:NECソリューションイノベータ株式会社 北陸支社
2007年 NECソフトウェア北陸に入社。
デスクトップまわりのセキュリティ強化設計や構築作業に従事後、自治体の認証基盤構築、仮想基盤の設計および構築作業に携わる。エンドポイントから仮想基盤、クラウドセキュリティまでを知るSIerのセキュリティ技術者として、セキュリティ強化提案やお客様向けのセキュリティ研修を担当。現在は、IoT領域にも活動を拡げ、IoTに関わるセキュリティポリシーの整備、セキュリティ教育に従事している。

本コラムの関連製品

NEC IoTセキュリティ設計支援サービス

NEC IoTセキュリティ設計支援サービス

IoTシステムに対する脅威分析やリスク評価など、数多くの実績に基づいた設計支援サービスを提供します。

NEC IoTセキュリティ診断サービス

NEC IoTセキュリティ診断サービス

新セキュリティ基準へのIoT機器の適合検証を支援し、お客様のより安全な製品のリリースをサポートします。

情報セキュリティコラムThe ANGLE情報漏えい対策の視角

セミナー・イベント情報

資料ダウンロード

企業の情報漏えい対策に役立つ情報をPDF形式の資料として無償でダウンロードしていただけます。

サイバー脅威からお客様の資産・ビジネスを守る

サイバーセキュリティ対応のポイント リーフレット

サイバーセキュリティ対応のポイント リーフレット

NECソリューションイノベータのサイバーセキュリティサイトをA4裏表でコンパクトにまとめた紹介リーフレット。

(A4・全2ページ)

情報セキュリティ対策の特集/業界トレンド情報をご提供

ホワイトペーパー

  • IT部門 意思決定者を対象とした調査結果レポート

    IT部門 意思決定者を対象
    とした調査結果レポート

    (A4/全8ページ)
  • 「終わりなきITセキュリティ対策」に必要な2つの視点とは

    「終わりなきITセキュリティ対策」
    に必要な2つの視点とは

    (A4/全4ページ)
  • 21世紀のセキュリティにAIが果たす役割

    21世紀のセキュリティに
    AIが果たす役割

    (A4/全6ページ)

情報漏えい対策ソリューション

製品ご紹介リーフレット

本サイトでご紹介している製品のご紹介リーフレットを無料でまとめてダウンロードしていただけます。導入ご検討の際にぜひご活用ください。

  • Check Point Media Encryption リーフレット

    Check Point Media Encryption(A4・全2ページ)

  • Check Point Full Disk Encryption リーフレット

    Check Point Full Disk Encryption(A4・全2ページ)

  • NonCopy2 リーフレット

    NonCopy2(A4・全2ページ)

  • 4thEye Professional リーフレット

    4thEye Professional(A4・全2ページ)

  • Tripwire Enterprise リーフレット

    Tripwire Enterprise(A4・全2ページ)

  • BlackBerry Protect リーフレット

    BlackBerry Protect(A4・全2ページ)

  • Webコンテンツ保護・情報漏えい対策リーフレット

    Webコンテンツ保護・情報漏えい対策リーフレット(A4・全4ページ)

サイバー脅威からお客様の資産・ビジネスを守る

サイバーセキュリティ

サイバー攻撃が加速度的に高度化・巧妙化し続ける今、
個所を守るセキュリティ対策だけでは対応することが困難になっています。
NECソリューションイノベータは、エンドポイントからクラウドまでシステムを
知るシステムインテグレータの視点で、組織全体のセキュリティ対策強化と、
お客様のビジネスの継続および重要データの保護をサポートします。

情報漏えい対策をお考えの企業様へ

お問い合わせ・ご相談フォーム

「すでにセキュリティ対策はしているつもりだが、対策に漏れがないか不安だ」
「セキュリティをより強固にするため複数の施策を組み合わせたいが、機能の重複などがあって迷っている」
など、情報漏えい対策についてのご質問・ご相談などございましたら、何でもお気軽にお問い合わせください。