あなたのスマホやルーターが
知らぬ間に攻撃の「踏み台」に
IoTのセキュリティーが弱い理由は、利用者が、初期設定のIDやパスワードを使い続けるケースや、プログラムのバージョン更新を怠る場合が多いからである。また、IoT機器の演算処理能力は比較的低いため、セキュリティー対策ソフトなどを導入できないという問題もある。結果として、機器がサイバー攻撃者に狙われ、パスワードは簡単に推測されてしまう。知らぬ間に他人にカメラを乗っ取られてプライベートを覗かれる、あるいはあなたの見ているテレビの視聴履歴が丸裸にされてしまうことになりかねない。
16年には史上最大級と言われるDDoS攻撃(大量のデータを送りつけてサーバーに負担を与えて業務を妨害する攻撃)がIoT機器を踏み台に行われた。20歳代前半の3人組がIoT機器を狙う「Mirai」というマルウェアを作成し、遠隔操作できるIoT機器を最大60万台も支配下に置いていたという。この機器が世界各地を攻撃し、インターネットに接続できない事態が発生した。
最近では、19年6月に欧州の14歳の少年がIoT機器に侵入し、機器を破壊して起動できなくするマルウェアを作っていたことが発覚した。少年がその攻撃を仕掛けていたことからも、IoT機器への攻撃がより簡易に実施されつつあることがわかっている。
日本でも同様のケースが起きている。17年6月、カブドットコム証券のウェブサイトが、IoT経由でDDoS攻撃にさらされ、顧客が取引口座にログインできない状態になった。同社はセキュリティー対策を講じていたため、40分ほどでシステムは復旧したが、同様の攻撃が企業にもたらすリスクを見せつけることになった。
現在、日本人のスマホ所有率は8割を超えているが、IoTを手元で操作できるスマホもまた、セキュリティーのリスクが高くなっている。17年9月には、日本を含む世界100カ国以上で約14万台のスマホが乗っ取られるという事案が確認された。
攻撃を確認した米アカマイ・テクノロジーズの中西一博氏は、「この攻撃では、まずスマホが乗っ取られ、所有者が気付かないうちにIoT機器が遠隔操作され企業などを標的にしたサイバー攻撃に加担させられていた。欧米だけでなく、アジアでも、50以上の企業でインターネットを通じた取引ができなくなるなどの支障が出た」と語る。そして、「日本でも226台が乗っ取られて、この攻撃の加害者となっていた」。