IoT デバイスが抱えるリスク
スマートスピーカー、ネットワークカメラ、スマートロック、スマート家電——私たちの生活空間には、インターネットに接続されたデバイスが急速に増えています。これらの IoT (Internet of Things) デバイスは生活を便利にする一方で、新たなセキュリティリスクをもたらしています。
従来のパソコンやスマートフォンと異なり、多くの IoT デバイスはセキュリティアップデートの頻度が低く、処理能力の制約からウイルス対策ソフトを導入できません。攻撃者にとって、IoT デバイスは家庭内ネットワークへの侵入口として格好の標的です。
IoT デバイスへの代表的な攻撃
デフォルトパスワードの悪用
多くの IoT デバイスは、出荷時に「admin/admin」や「admin/password」といった初期パスワードが設定されています。これを変更せずに使い続けると、攻撃者は容易にデバイスにアクセスできます。2016 年に大規模な DDoS 攻撃を引き起こした Mirai ボットネットは、まさにこの脆弱性を突いたものでした。
ファームウェアの脆弱性
IoT デバイスのファームウェアに脆弱性が発見されても、メーカーがアップデートを提供しない、あるいはユーザーが適用しないケースが少なくありません。放置された脆弱性は、攻撃者にとって恒久的な侵入経路となります。
盗聴とプライバシー侵害
マイクやカメラを搭載したデバイスが乗っ取られると、家庭内の会話や映像が外部に流出する危険があります。スマートスピーカーやベビーモニターが不正アクセスされた事例は、実際に報告されています。
家庭内ネットワークを守る基本対策
ルーターのセキュリティを強化する
家庭内ネットワークの要はルーターです。以下の設定を確認してください。
- ルーターの管理パスワードを初期値から変更する
- ファームウェアを最新版に更新する
- WPA3 (または最低でも WPA2) で Wi-Fi を暗号化する
- リモート管理機能を無効にする
- UPnP (Universal Plug and Play) を無効にする
IoT デバイス専用のネットワークを分離する
多くの家庭用ルーターはゲストネットワーク機能を備えています。IoT デバイスをゲストネットワークに接続し、パソコンやスマートフォンが接続するメインネットワークと分離することで、IoT デバイスが侵害されてもメインネットワークへの影響を抑えられます。
各デバイスのパスワードを変更する
すべての IoT デバイスで初期パスワードを変更し、強力で一意のパスワードを設定してください。可能であれば二要素認証も有効にしましょう。
IoT デバイスの選び方
セキュリティを考慮した IoT デバイスの選定基準を以下に示します。
- 定期的なファームウェアアップデートを提供しているメーカーの製品を選ぶ
- 自動アップデート機能を備えた製品を優先する
- プライバシーポリシーが明確で、データの取り扱いが透明な製品を選ぶ
- 不要な機能 (マイク、カメラなど) を物理的にオフにできる製品を選ぶ
- サポート終了時期が明示されている製品を選ぶ
使わなくなった IoT デバイスの処分
IoT デバイスを廃棄・譲渡する際は、必ず工場出荷状態にリセットしてください。Wi-Fi のパスワード、アカウント情報、利用履歴などがデバイスに残ったままでは、次の所有者や廃棄物を回収した第三者に情報が渡る可能性があります。また、クラウドサービスとの連携も解除しておきましょう。