logo

IoT機器にも迫るセキュリティリスク--対策をシマンテックに聞く

  • このエントリーをはてなブックマークに追加

 スマートフォンと連携して使用するスマートウォッチやヘルスケア機器といった、個人向けのIoT機器が次々と登場している。今後も、こうしたライフスタイルの利便性を高める製品やサービスは数多く登場すると予想されるが、ネットワークに接続する機器が増えることで、どのようなセキュリティリスクが考えられるのだろうか。

 PCから始まったさまざまなネット犯罪は、すでにモバイル端末にも拡大し、さらにはIoT機器も標的になりつつある。その最新動向について、シマンテック ノートン事業本部マーケティング部長である古谷尋氏に聞いた。

シマンテック ノートン事業本部マーケティング部長の古谷 尋氏
シマンテック ノートン事業本部マーケティング部長の古谷 尋氏

 IoT機器のゲートウェイであるスマートフォンが、ネット犯罪のターゲットに

--IoT機器の活用が増えている中で、ユーザーが自分自身の情報を守るためにはどのような点に気を付けるべきでしょうか。

古谷氏  Apple Watchのようなスマートウォッチや活動量計などのヘルスケアデバイス、家庭向けの監視カメラやデジタルテレビなど、インターネットに繫がって価値を提供する個人向けIoTデバイスは、今後さらに増えることが想定されます。米国Gartnerの試算では、2016年はネットに繋がるデバイスは64億台以上になるといわれており、2015年よりも30%以上増えることになるのです。

 こうしたデバイスたちのコマンドセンター(IoT機器の操作デバイス)になるという意味で、スマートフォンのセキュリティが今後より重要になっていくと考えています。もし、スマートフォンが盗まれたり、その中身が抜き取られてしまったりしたらどうなるか。たとえば、ホームセキュリティを利用している家の鍵を盗まれたり、ヘルスケアデバイスや家庭用監視カメラからプライバシーをのぞき見されたりといった、重大なリスクになるのです。

 スマートフォンが操作できれば、それと連携するあらゆるネットワーク機器の操作が可能になります。それによって、セキュリティのリスクがスマートフォンと接続するIoTデバイス、つまり自分の家や車やモノにまで及び始めているのです。

--IoT機器を狙った犯罪にはどのようなものが考えられるのでしょうか。

古谷氏  IoT時代にどのような脅威が起こりうるのかについては、ノートンだけでなくさまざまな企業や研究機関が実験をしています。たとえば、最新のスマートテレビはTizen、WebOS、Firefox OS、AndroidといったOSを搭載しており、アプリを稼働させることからウィルスが侵入する余地があります。ネットワークの暗号化(SSL)をしていない場合も多く、OSやアプリの脆弱性に対するアップデートも遅れやすいことから、ネット犯罪の標的になりやすいのではないかと考えています。

 ノートンのエンジニアが、実際にスマートテレビに感染するウィルスを試作して実験してみたところ、スマートテレビにランサムウェア(画面をハッキングして身代金を要求するプログラム)を送り込んでハッキングすることに成功しています。IoT機器が高度になればなるほど、セキュリティのリスクは増すのではないかと感じています。中には、自動車をハッキングして操縦不能にしたという検証動画もあるので、IoT機器をターゲットにネット犯罪をしようとしている人は、すでに数多くいると考えたほうが良いでしょう。

 また、モバイルを狙った脅威については、これまではユーザーのプライバシーを狙ったものが主流でしたが、最近は日本語のランサムウェアも確認されています。スマートフォンを”人質”にとって、「iTunesカードのコードを入力しないと解除できない」といった形でお金を要求するものです。これまでは欧米諸国でこうしたネット犯罪が拡大していましたが、日本人も標的になってしまいました。ネット犯罪者は、プライバシーよりもユーザーの財産をターゲットにしています。

PCでできることはスマホでもできる--デバイスに囚われないセキュリティの必要性

--こうしたスマートフォンを狙ったハッキングやランサムウェアなどは、増加傾向にあるのでしょうか。

古谷氏 まだそこまで拡大していないとは思いますが、PCでできることはモバイルでもできると思ったほうがいいでしょう。PCの場合は、OS、ブラウザ、プラグインといったユーザーの利用環境に応じたウィルスを生成して送り込むツールなどが存在していますが、そういうものが近い将来スマートフォン向けに登場してもおかしくはないと思います。

ノートンが調査したパスワード管理の実態
ノートンが調査したパスワード管理の実態

 それに加えて、IDとパスワードでクラウドの情報にアクセスできる今の時代、ネットの脅威にデバイスの違いは関係なくなってきているのではないかと思います。そういう意味では、自身の機密情報やプライバシーにアクセスするためのIDとパスワードをどのように保護するのか、フィッシング詐欺のような犯罪リスクからどのように身を守るのか、といった点に意識を持つ必要があるのではないかと思います。悪さをしようとしている犯罪者が、PCやモバイルのウィルスなどを通じて狙っているのは、ユーザーが保護している情報にアクセスするためのIDとパスワードなのです。

 また、屋外では犯罪者がフリーWi-Fiを装ってアクセスポイントを公開し、PCやスマートフォンで接続したユーザーをハッキングしたり、悪意のあるプログラムを送り込んだりするといったネット犯罪も可能になります。まだ社会問題化はしていませんが、今後増加が考えられる脅威として注意が必要です。

-PR-企画特集