セキュリティのトレンド 2022 Spring IoT 機器の設定を確認しよう！

インターネットを介した多様なサービスを手軽に利用できるようになりました。PC、タブレット、スマートフォンだけでなく、スマートスピーカー、ネットワークカメラ、連携機能を持ったスマート家電といった「IoT 機器」を使われている方も多いと思います。

生活を豊かにしてくれる便利な機能を手軽に使えるようになった反面、IoT 機器の管理・設定の不備や脆弱性（ソフトウェアの不具合）を狙った悪意のある攻撃も多発しています。攻撃はインターネット上で無差別に行なわれており、誰でも被害を受ける可能性があります。これらの攻撃は自分自身が被害者となるだけでなく、攻撃を受けた機器が次の攻撃に悪用されることで、加害者となってしまう危険性もはらんでいます。

IIJのお客さまのなかにも攻撃を受けて、DDoS 攻撃の踏み台になってしまったといった事例が発生しています（次頁「IoT 機器を介した DDoS 攻撃発生の仕組みとバックボーンへの影響」参照）。そうしたお客さまに利用環境を確認すると、ルータなどのネットワーク機器だけでなく、ネットワークカメラやNAS^*などの機器が踏み台にされ、別の攻撃に悪用されている事例が多いことがわかります。

利用者は家のなかでのみ使っているつもりでも、設定によっては、インターネットに公開している状態になっており、不特定多数からカメラの映像をのぞき見されたり、プライベートなファイルを期せずして公開してしまっているといったケースもあり得ます。

例えば、スマートフォンのアプリを介して、外出時にも機器を遠隔操作できるものがありますが、設定状況によってはインターネットを通じて、正規の通信だけでなく、悪意のある攻撃を目的とした通信を受けてしまう危険性もあります。

これらを防ぐには、利用している機器の設定が安全かどうか、適切に確認する必要があります。

確認するポイントを挙げると――

• IDやパスワードが初期設定のまま機器を使っていないか確認する。
• 利用している機器のファームウェアやソフトウェアが最新版にアップデートされているか、メーカのサイトなどで確認する。
• 覚えのない設定が入っていないか、インターネットから制限なく接続できる設定になっていないか確認する。
• 覚えのない機器や想定していない機器が接続されていないか確認する。

一部のブロードバンドルータでは、ネットワークにつながっている機器の一覧を表示してくれるものもあります。こうした機能を使うなどして、普段からネットワークにつながっている機器を確認しておきましょう。

機器によっては、メーカによるアップデートやメンテナンスが行なわれなくなったものもあるかもしれません。このような機器は今後、悪用される可能性が高いため、利用の停止や新しい製品に買い替えるといった対応が必要になります。まだ使えるから、壊れていないからといって使い続けるのではなく、利用している機器を定期的に確認し、安全性を見直すことも利用者が考えなければならない対策です。

最近では、セキュリティ的に問題のある設定は、出荷時にオフになっていたり、自動的にソフトウェアを更新する機能がついている機器も増えてきました。新しく購入する際は、そうした機能やサポートがしっかりしている製品を選ぶよう心がけましょう。

インターネットは、今や生活に欠かすことのできない社会基盤の1つになりました。安心・安全かつ安定的なインターネットの運用は、ISPのみで成り立つものではなく、法人・個人を含む全ての利用者の協力と理解が不可欠です。皆さまもその一員であるという自覚をお持ちいただき、普段から IoT 機器の設定を確認するようにしましょう。