iot_risk

テレワーク拡大でウェブカメラ、ルーターなどIoT機器を狙ったサイバーリスクが上昇

2020/06/12

新型コロナウイルスの影響で急遽広がったテレワークを背景に、国内で新型コロナウイルス関連のサイバー攻撃が急増し、テレワークで利用するウェブカメラやルーターなどIoT機器へのサイバー攻撃リスクも上昇しています。

 

セキュリティ対策を怠ると、パソコンがウイルスに感染して業務ができなくなるだけでなく、重要なデータが流出し、企業に大きな影響を与える可能性があります。

 

今回はIoT機器を標的としたサイバー攻撃の事例から考えられる対策をまとめました。

 

◆国内で新型コロナ関連のサイバー攻撃が、3カ月で6,000件超に

情報セキュリティ会社「トレンドマイクロ」による、2020年1月から3月の期間における統計によれば、Web経由の攻撃として全世界から4万7,000件以上のアクセスがCOVID-19関連の不正サイトへ誘導されたことがわかっています。そのうちの13.8%(6,000件超)が日本からのアクセスでした。

出典元:「新型コロナウイルス(COVID-19)」便乗脅威の最新情報

 

慣れないテレワークへの急激な移行に伴う個人のパソコンを使っての社外勤務は、必ずしもサイバーセキュリティ対策が十分に取れているとは言えません。

 

セキュリティの構築など十分に準備が整わないままテレワーク導入に踏み切る企業も目立ち、サイバー攻撃の標的となる危険にさらされています。

 

どうしても家庭のネットワークはオフィス内より対策が甘くなりがちです。

テレワークで使用するパソコンをIoT機器などもつながる自宅のネットワークに接続していた場合、端末が知らないうちに感染している恐れも。

 

無防備な自宅のPCや、外部の無料Wi-Fiルーターなどを利用したテレワーカーが急増し、被害の拡大リスクがかつてなく高まっているといわれています。

 

◆IoT機器の脆弱性を狙った「Mirai」

2016年に流行したIoT機器を主なターゲットとして狙う「Mirai」というマルウェアは、多くの機器の初期設定で使われているユーザー名とパスワード(「admin」「root」「guest」など)でログインを試みる特徴がありました。

 

「Mirai」は感染した端末同士がネットワーク上で連携し、1つのターゲットに対して一斉に攻撃可能な体制を取り、感染してボットと化したコンピュータ群(ボットネット)に指令を送り、制御の中心として指示を出すことで攻撃に移行します。

 

標的とされやすいのは、IDやパスワードを工場出荷時のデフォルト状態から変更していないデバイスとされており、実際に攻撃に使用されたパスワードをリスト化すると、「admin」の他、ルーターやデジタルビデオレコーダー(DVR)の工場出荷時のデフォルトパスワードが使用されていることが分かりました。

 

このように、デフォルトで設定されているユーザー名とパスワードのままIoT機器を使用することは非常に危険を伴います。

 

◆IoT機器を利用されないための4つの対策

IoT機器のセキュリティ対策はつい後回しになったり、セキュリティ対策をするべき対象として見落とされがちなため、十分な対策が行われていないことが多いです。

 

パスワードの設定が初期値のままである場合や、脆弱性対策用パッチを適用しないままの場合もあります。

 

そういった管理が行き届いていない状態のIoT機器が狙われるため、ネットワーク回線を通じて結果的に多くのユーザーへ影響を与えてしまう可能性があります。

 

そうなる前に対策が必要です。

 

以下、IoT機器についての具体的なセキュリティ対策方法です。

 

1、複雑なパスワードを設定する

パスワードの設定ができるIoT機器の場合は、できる限り複雑なパスワードを設定しましょう。初期パスワードのままは論外です。

忘れないよう、ついつい安易なパスワードを設定してしまいますが、安易なパスワードほど解読されやすく、乗っ取られてしまう確率を高めてしまいます。「@niftyセキュア・プライバシー」のように、パスワード生成&管理ができるサービスなどを利用し、パスワードを複雑なものを設定することにより、乗っ取りのリスクを軽減しましょう。

 

2、使わなくなったIoT機器は電源を切る

現在利用していないIoT機器は、電源を切ってインターネットに繋がないようにしましょう。使用していないにも関わらず、インターネットに接続されている状態だと、知らない間に乗っ取られてしまう可能性があります。

さらに、普段使わないため、乗っ取りに気付くこともなく、情報が奪取されたり踏み台として利用されてしまう危険性があります。

 

3、制作元が不明、問い合わせ先の情報がない機器は使用しない

万が一の場合に対応してくれるか不明な機器の使用は避け、問い合わせ先の情報やサポートの対応が明確な機器を利用するようにしましょう。

 

4、セキュリティ対策ソフトを利用する

テレワークのように、ウェブカメラやプリンターなどインターネットに接続するIoT機器の数が多い場合、デバイス一つ一つをセキュリティ対策するにも限界があります。

 

@nifty スマートセキュリティ with F-Secure」なら、セキュリティWi-Fiルーターで防御するため、ネットに接続するデバイスのすべてにセキュリティ対策ができます。

 

パソコン・スマホはもちろん、通常のセキュリティソフトでは保護できなかったゲーム機、スマート家電、スマートスピーカーまで、宅内のインターネットにつながるすべての機器をIoT家電に潜むリスクから守ります。

参考記事:「IoT家電に潜むリスクはセキュリティWi-Fiルーターで防御!危険性とセキュリティ対策の基本」

 

また、警察庁からも「複数のIoT機器等の脆弱性を標的としたアクセスの増加等について」といったレポートを掲載しており、総合的にセキュリティ対策を行うことを推奨しています。

 

小さなことからでも対策を行うことで、IoT機器を狙った攻撃を受けるリスクを軽減させることが可能となります。

 

※現在は新規受付を停止しています。
※2020年6月時点の情報です。

@niftyのおすすめインターネット接続サービス

  • @nifty光
  • ドコモ光
  • auひかり