家に鍵をかけるように、家庭にあるルーターやインターネットに接続している家電などのIoT機器のセキュリティは万全ですか。

今回は「家庭のインターネットを脅威から守る　NOTICE（ノーティス）」というテーマでお話しました。

秋元　　皆さんは、IoT機器という言葉を聞いたことがありますか。
IoTは、Internet of Thingsの略で、簡単に説明すると、これまでインターネットにつながっていなかったモノや家電が、インターネットにつながって便利になることを、IoTと言います。
つまりIoT機器というのは、インターネットに繋がった家電や機械のことです。

JOY　　テレビやゲーム機もそうでしょ。
うちは猫を飼っているから、外出先でも猫の様子が分かるように見守るカメラを置いているよ。IoT機器、うちにも結構あるな。

秋元　　こうしたIoT機器の数は、2018年の時点で、世界中に推定307億個あって、2021年にはおよそ1.5倍の448億個まで増える見込みだそうです。
数が増えると、非常に残念なことですが、サイバー攻撃の標的になりやすくなるそうです。
JOYくんの家のWebカメラをサイバー攻撃されたら、覗き見されるかもしれないよ。

JOY　　家の猫を覗き見されてしまうかもしれない。怖いな。

秋元　　そこで、こうした脅威を少しでも回避するために行われているNOTICEという取組、そして私たちにもできる対策について、総務省 サイバーセキュリティ統括官室の梅城崇師さんにお話を伺っていきます。

早速ですが梅城さん。私たちの身近にあるIoT機器が、サイバー攻撃の脅威に晒されているということですが、もう少し詳しく教えていただけますか。

梅城　　はい。インターネット社会になって私たちの暮らしはとても便利になりましたが、一方でサイバー攻撃により大切な情報が漏れてしまったり、様々なサービスが使えなくなったりするといった被害も生じています。昨年、1年間に観測されたサイバー攻撃のうち、およそ半数がIoT機器を狙った攻撃であることがわかっています。

JOY　　IoT機器と言ってもいろいろありますよね。
例えば、どんな機器が狙われているんですか。

梅城　　はい。特にWebカメラや家庭にあるルーターが攻撃の対象となっています。ルーターは、インターネットにつなぐための通信機器です。
インターネット回線を引いている家庭には設置されているはずです。

秋元　　そのルーターや、Webカメラがサイバー攻撃に遭うと、どんなことが起こるんですか。

梅城　　攻撃内容にもよりますが、インターネットに接続できなくなったり、場合によっては他人にWebカメラをのっとられて、部屋の中を監視されてしまったりするおそれがあります。

秋元　　盗撮されちゃうってことですか。怖いですね。

梅城　　そうですね。また過去には、悪意のある人が、サイバーセキュリティに不備があるIoT機器に不正プログラムを組み込むことで、IoT機器からアメリカの大手IT企業に大量の通信データを送りつけて、サーバーをシステムダウンさせる、という大規模な攻撃がありました。
これによって、皆さんがよく利用する大手の通販会社や、インターネット動画配信サービス、SNSに障害が発生したんです。

JOY　　これだけ、インターネットが普及している中で急にインターネットやSNSが使えなくなったりすると困る人が多いよね。
しかも、知らない間に自分の家のIoT機器が乗っ取られて、悪いことに使われるのは怖いね。

それに、例えば医療現場で使われているIoT機器を乗っ取られたり、攻撃されたら、大変なことになるよね。

秋元　　うん。命に関わることにつながる可能性もあるよね。
こうしたサイバー攻撃の脅威からIoT機器を守るために、NOTICEという取組を行っているんですね。

梅城　　はい。NOTICEは国立研究開発法人情報通信研究機構が、サイバー攻撃に悪用されるおそれのあるIoT機器を調査して、インターネット接続事業者を通じて利用者に注意喚起を行う取組です。
今年2月から国内のIPアドレスに対して調査を実施しています。
このIPアドレスというのは、インターネット回線に割り振られた、番号のことです。
調査は30社を超えるインターネット接続事業者と協力して進められており、調査対象としている国内のIPアドレスの数はおよそ1億にものぼります。その結果、今年9月までに延べ505件のIPアドレスが注意喚起の対象となりました。

秋元　　サイバー攻撃に悪用されるおそれのあるIoT機器というのは、どういう状態にあるものなんですか。

梅城　　簡単に言えば、セキュリティ対策が甘いものです。
例えば、パスワードが初期設定のままであったり、連続した数字を使っていたりするなど安易なものは大変危険です。
また、インストールされているソフトウェアが古いままで、アップデートしていないものなども同様に危険です。

JOY　　パスワードが初期設定のままの人って、結構多いんじゃないかな。
パソコンや、スマホだと自動でアップデートしてくれたりするけれど、IoT機器は一度設定したら、あとはそのままになっていることが多い気がするな。だからこそ、危ないんじゃないのかな。

秋元　　危機感が少ないかもしれないね。
サイバー攻撃に悪用されるおそれのあるIoT機器を調査するということですが、どのように行われているんですか。

梅城　　まずインターネット上で、誰でも簡単に推測できるようなパスワードを入力して、ログインできてしまうIoT機器のIPアドレスを割り出します。
そして、インターネット接続事業者と連携して、その機器の利用者に対して、注意するよう呼びかけます。

秋元　　分かりやすく例えると、どんなことを調べるのですか。

梅城　　そうですね、例えば、勝手に侵入されないように、家の場合は玄関に鍵をかけますよね。
IoT機器の場合もパスワードという鍵をかけます。
その鍵が、簡単に開けられてしまうものでは役に立たないので、簡単に空いてしまう鍵でないかを調べて、その家の住人に、お知らせするということです。

秋元　　大切なのは、簡単に侵入されないようにIoT機器のセキュリティを万全にすることですね。

梅城　　はい。皆さんがすぐできることは2つあります。
パスワードを複雑なものにすることと、インストールされているソフトウェアを常に最新のものにアップデートしておくことです。
パソコンやスマホのパスワードなどはしっかりと管理している方でも、IoT機器のパスワードは気にしていない方が多いのではないでしょうか。

JOY　　IoT機器のパスワードですが、例えば、無線LANなどでパソコンをルーターに接続するためのパスワードのことですか。

梅城　　そのパスワードではなく、IoT機器の設定画面を開くためのパスワードです。特に、ルーターの場合は、取り付ける事業者の方が設定する場合もありますので、パスワードの存在自体知らない方も多いと思います。
ですから、まず、自宅にIoT機器がある方は、購入した際の説明書をよく見返してパスワードを確認してください。
そして仮に初期設定のパスワードや分かりやすいものになっていたら、複雑なものに変更してください。

JOY　　まず、説明書を探さないといけないな。
でも、守るためにも必要なことだね。

秋元　　他に私たちが注意しておいたほうがいいことはありますか。

梅城　　日頃からインターネット接続事業者から届くお知らせには注意を払い、もし注意喚起があった場合は、速やかにパスワードの変更や、アップデートをしてください。

JOY　　メールでお知らせが届いてもスルーしちゃうことがありそうだけど、重要な内容が含まれているわけだから、しっかりと確認しないといけないね。

梅城　　そうですね。
また、注意喚起のお知らせがあるのは、契約しているインターネット接続事業者からだけです。
契約していないインターネット接続事業者や、接続事業者以外からお知らせが届くことはありません。少しでも不審に思うところがあれば、NOTICEサポートセンター、または、契約しているインターネット接続事業者に問い合わせてみてください。
NOTICEサポートセンターの連絡先は、検索サイトで「NOTICEサポートセンター」と入力してください。

JOY　　スマホやパソコンにくる、身に覚えのないところからの連絡はもしかしたら、だまそうとしている場合もあるから、疑うことも大事だよね。

秋元　　不審なことや分からないことがあれば、行動する前に確認してみることが大事ですね。

梅城　　2020年に東京オリンピック・パラリンピック競技大会を控えて、サイバーセキュリティ対策の必要性が高まっています。
みなさんがお使いのIoT機器についても、複雑なパスワードとソフトウェアのアップデートで対策をお願いします。

秋元　　やっぱり、目には見えないものだから、危機感が薄れてしまうよね。
リスナーの皆さん、是非、IoT機器のパスワード、どうなっているのか確認してくださいね。

JOY　　インターネットなしでは暮らしづらい時代だからこそ、自分たちを守るためにも、向き合い方を変えていかないといけないね。

参考：NOTICE