セキュリティをゆる~く学ぶ!「茂礼手課長のNO MOREな一日」第2回 ~IoT編~
『布施木君、我が社の監視カメラの映像が外部に公開されているぞ』
茂礼手課長と呼ばれている。なにかとやらかしては、布施木君に注意される。
布施木君と呼ばれている。なんだかんだと茂礼手課長をサポート。
■ある日のオフィスにて
情シスからのメールだ。「あるWebサイトに、監視カメラの映像に映った会社の施設らしきものが公開されている」だって……。何だろう怖い。
課長は「IoT」って聞いたことあります?
あらゆる「モノ」がインターネットにつながって、そこから収集したデータを活用して仕事を効率化したり、ビジネスを変革させようという取り組みが進んでいるんです。
カメラに設定されているIDやパスワードが初期状態の場合は、誰でも簡単にカメラにログインが可能になって、撮影されている映像も、外部から丸見えになってしまうんです。
■あらゆる「モノ」がインターネットにつながり、セキュリティの脅威も高まっている
茂礼手課長が設置した監視カメラから、映像が外部に意図せず流出してしまいました。
あらゆる「モノ」がインターネットにつながる「IoT」の普及が進んでいます。IoTに対応したモノの数は爆発的に増えており、インターネットに接続するセンサーやデバイスの数は、2020年までに300億個を超えるという予測もあります。
これに伴い、セキュリティの脅威も高まっています。2016年10月には、米国の企業が大規模なDDoS攻撃を受ける被害が発生しました。この攻撃は「Mirai」(ミライ)と呼ばれるIoT機器を狙って感染するマルウェアによって引き起こされたことがわかっています。
また、自動車や医療機器の脆弱性が報じられたり、Webサイト上にネットワークカメラの映像が公開されている事案などが報じられたりしています。
一般的に、IoT機器はパソコンなどと比べてセキュリティの設定が甘く、利用時に必要なIDとパスワードに、初期設定で一般的な単語が設定されているケースがあります。また、あらゆるモノにインターネット接続機能が備わっているため、企業は自社のどこに、どのようなIoT機器があるか、把握、管理が難しいという課題もあります。
こうしたセキュリティの弱点をついて、攻撃者がIoT機器に不正に侵入し、さらなる攻撃の踏み台にしたり、企業の重要データを盗み出したりするおそれがあります。
こうした被害を未然に防ぐために、IoT機器の認証強化が必要です。機器利用に必要なパスワードは初期設定のものから必ず変更し、推測されにくい複雑な文字列に設定しましょう。また、脆弱性をついた攻撃に合わないためにも、定期的なセキュリティアップデートも心掛けましょう。
パスワードの設定などについては、「セキュリティ7つの習慣・20の事例」も参照してください。
・習慣3「ID・パスワードを強くしましょう」
・習慣7「万が一、何か起きたときは早めに連絡、早めに相談しましょう」
阿部欽一(あべ きんいち)フリーライターキットフックの屋号で活動するフリーライター。社内報編集、Webコンテンツ制作会社等を経て2008年より現職。情報セキュリティをテーマにした企業のオウンドメディア編集、制作等を担当するほか、エンタープライズITから中小企業のIT導入、デジタルマーケティングまで幅広い分野で記事執筆を手がけている。