教えて!自治体ICT
はい。あらゆるものがインターネットなどのネットワークに接続されるようになり、私たちは意識せずとも日々の暮らしの中でIoTやAIを活用するようになってきました。自動車、コピー複合機、監視カメラやセンサーなど、ビジネスにおいてもIoT機器が広く活用されているにもかかわらず、IoT機器はセキュリティ対策の検討対象から見落とされてしまっていたり、優先順位が低かったりと、十分な対策が行われていないことが多い現状です。
そのため、IoT機器の普及と比例してIoT機器を踏み台(不正なソフトウェアが感染し、攻撃者がIoT機器を遠隔操作できる状態のこと)にしたサイバー攻撃は年々増加傾向にあり、IoT機器を悪用した大規模なサイバー攻撃(DDoS攻撃)によりインターネットに障害が生じるなど、深刻な被害も発生しています。今後、5Gのサービス開始にともなって、IoT機器の設置・運用がさらに増加していくことが想定され、IoT機器を踏み台にしたサイバー攻撃による被害はより広範囲かつ深刻化してくると予想されます。
近年では、IoT機器の脆弱性を狙ったゼロデイ攻撃と呼ばれるサイバー攻撃が増えてきています。ゼロデイ攻撃とは、脆弱性は見つかったもののパッチなどの修正策がまだ存在しなかったり、脆弱性情報が未公表だったりする、解消する手段がない脆弱性を狙ったサイバー攻撃のことです。脆弱性が発見され、修復されるまでの時間を1日(One Day)とすると、それ以前に攻撃してくることからゼロデイ(Zero Day)攻撃と呼ばれています。今後は、AIが脆弱性の発見に悪用される可能性が指摘されていますが、一方でAIを活用してゼロデイ攻撃をはじめとしたサイバー攻撃を防ぐ取り組みも研究されています。
はい。総務省は、IoT機器を踏み台としたサイバー攻撃などの深刻化を踏まえ、2017年10月に「IoTセキュリティ総合対策」を公表しています。さらに、2019年8月に、IoTに加え5Gのサービス開始にともなうリスクを踏まえた「IoT・5Gセキュリティ総合対策」を公表しています。
「IoT・5Gセキュリティ総合対策」では、IoT機器のセキュリティ対策として、次の4点を挙げています。
このうち、「3. 脆弱性等を有するIoT機器の調査と注意喚起」ついて、総務省は2019年2月から、NICT(National Institute of Information and Communications Technology:情報通信研究機構)と連携して、サイバー攻撃に悪用されるおそれのあるIoT機器の調査と、機器利用者への注意喚起を行う取り組み「NOTICE」を実施しています。
「NOTICE」の主な対象は、ルーター、ウェブカメラ、センサーなどであり、携帯電話回線で使用するスマートフォンや無線LANルーターに接続して使用するパソコンなどについては、一部の例外を除いて調査対象外となっています。
調査方法は、日本中にあるIoT機器に、容易に推測されるパスワードを入力するなどしてサイバー攻撃に悪用されるおそれのある機器を特定し、該当する機器の情報をインターネットサービスプロバイダ(ISP)に連絡。
さらに、ISPは、該当する機器の利用者を特定して、その利用者に注意喚起する取り組みです。なお、パスワードなしで外部から制御可能な機器についても、サイバー攻撃に悪用されるおそれのある機器として特定する場合もあるとのことです。
2019年2月の「NOTICE」開始から9月までの実施状況を次に紹介します。調査対象となった約1億9,000万アドレスのうち約14万件がID・パスワードが入力でき、そのうちの652件がID・パスワードが予測可能でログインできてしまうためISPへの注意喚起の対象となっています。
IoT機器を悪用するなどのサイバー攻撃を未然に防ぐためには、日頃から次のような対策を講じる必要があります。
この機会に、身のまわりにどのようなIoT機器があるか、それらIoT機器のセキュリティ対策状況はどうなっているか、日ごろから脆弱性についての情報を得るようにしているかなど、一度確認してみるのもよいかもしれませんね。
(2020年1月27日 公開)
配信を希望される方へ
自治体ICTに関する事務局おすすめの記事をメールマガジンでお届けします。登録は無料です。