パスつく.com

IoT デバイスのセキュリティ対策

この記事は約 3 分で読めます

スマートスピーカー、ネットワークカメラ、スマートロック、ウェアラブル端末など、IoT (Internet of Things) デバイスは私たちの生活に急速に浸透しています。総務省の調査によると、2023 年時点で世界の IoT デバイス数は約 340 億台に達し、今後も増加が見込まれています。しかし、これらのデバイスの多くは脆弱な初期パスワードのまま運用され、セキュリティ更新も不十分なケースが少なくありません。本記事では、IoT デバイスに潜むリスクと、家庭やオフィスで実践できる具体的な防御策を解説します。

IoT デバイスが狙われる理由

初期パスワードの放置

IoT デバイスの多くは、「admin」「password」「123456」といった工場出荷時のパスワードが設定されています。ユーザーがこれを変更しないまま運用するケースが非常に多く、攻撃者はこの事実を熟知しています。Mirai ボットネットは、61 種類の既知の初期パスワードを使って IoT デバイスに自動的にログインし、2016 年に大規模な DDoS 攻撃を引き起こしました。この攻撃では、DNS プロバイダの Dyn が標的となり、Twitter、Netflix、Reddit など多数の大手サービスが一時的にアクセス不能になりました。Mirai の亜種は現在も活動を続けており、NICT (情報通信研究機構) の観測では、IoT 機器を狙ったサイバー攻撃の通信量は全体の約 3 割を占めています。

アップデート機能の制約

PC やスマートフォンと異なり、多くの IoT デバイスには自動アップデート機能がありません。ファームウェアの更新は手動で行う必要があり、手順も複雑な場合があります。さらに、メーカーが数年でセキュリティパッチの提供を終了するケースも珍しくなく、既知の脆弱性が放置されたまま使い続けられるデバイスが大量に存在します。注意すべきは、サポート終了の告知がユーザーに十分に届かない点です。メーカーの Web サイトに小さく掲載されるだけで、デバイス自体には通知されないことがほとんどです。

暗号化の不備

一部の IoT デバイスは、通信データを暗号化せずに送信したり、SSL 3.0 や TLS 1.0 などの既に非推奨となった暗号化プロトコルを使用したりしています。同じネットワーク上の攻撃者が通信を傍受すれば、カメラの映像、音声データ、センサー情報などの機密データを容易に取得できます。特にネットワークカメラは映像データが平文で送信される製品が存在し、2020 年には国内で約 2,000 台のカメラ映像が第三者に閲覧可能な状態で放置されていた事例が報告されています。

IoT セキュリティの基礎を体系的に学ぶには、IoT 脆弱性診断の実践書 (Amazon)が参考になります。

実践的なセキュリティ対策

初期パスワードを即座に変更する

IoT デバイスを購入したら、最初に行うべきはパスワードの変更です。パスつく.com で各デバイスに固有の強力なパスワードを生成してください。IoT デバイスのパスワードは入力の手間が少ないため、20 文字以上の長いパスワードを設定することを推奨します。英大文字・英小文字・数字を含む 20 文字のパスワードであれば、約 119 ビットのエントロピーが得られ、ブルートフォース攻撃に対して十分な耐性があります。デバイスが記号に対応している場合は記号も追加し、さらに強度を高めてください。

IoT 専用ネットワークの構築

IoT デバイスを PC やスマートフォンと同じネットワークに接続すると、1 台の IoT デバイスが侵害された場合にネットワーク全体が危険にさらされます。多くの家庭用ルーターにはゲストネットワーク機能が搭載されているため、IoT デバイスをゲストネットワークに接続し、メインネットワークから分離してください。企業環境では VLAN (仮想 LAN) を使用して、IoT デバイスを独立したネットワークセグメントに隔離することを推奨します。よくある誤解として「ゲストネットワークは速度が遅い」と考えるケースがありますが、帯域制限を設けなければメインネットワークと同等の速度で通信できます。

ファームウェアを最新に保つ

IoT デバイスのファームウェアを定期的に確認し、更新がある場合は速やかに適用してください。自動更新機能がないデバイスについては、月に 1 回の頻度でメーカーのサポートページを確認する習慣をつけることを推奨します。ファームウェアの更新にはセキュリティパッチが含まれていることが多く、既知の脆弱性を修正する重要な手段です。更新中にデバイスの電源を切ると故障の原因になるため、更新作業中は電源を安定させ、完了まで待つことが重要です。

不要な機能を無効化する

使用しない機能は積極的に無効化してください。リモートアクセス、UPnP (Universal Plug and Play)、音声アシスタント連携など、有効になっている機能はすべて潜在的な攻撃対象です。特に UPnP は、デバイスがルーターのポートを自動的に開放する機能であり、外部からの不正アクセスの入り口になりかねません。必要な機能だけを有効にし、攻撃対象面を最小化することがセキュリティの基本です。

ルーターのセキュリティ強化

ルーターは、ネットワーク上のすべての IoT デバイスへの入り口です。ルーターのセキュリティが脆弱であれば、接続されたすべてのデバイスが危険にさらされます。

  • ルーターの管理画面パスワードをパスつく.com で生成した強力なパスワードに変更する
  • Wi-Fi の暗号化方式を WPA3 に設定する (WPA3 非対応の場合は WPA2)
  • WPS (Wi-Fi Protected Setup) を無効化する (既知の脆弱性があるため)
  • ルーターのファームウェアを最新に保つ
  • SSID をルーターの機種名が推測できない名前に変更する

ルーターの買い替えを検討する際は、WPA3 対応の Wi-Fi 6E ルーター (Amazon)が最新のセキュリティ規格に対応しています。

安全な IoT デバイスの選び方

IoT デバイスを購入する際は、セキュリティを重要な選定基準に含めてください。定期的なセキュリティアップデートを提供しているメーカーか、強力な認証方式 (二段階認証など) に対応しているか、プライバシーポリシーが明確か、データの暗号化が実装されているかを確認します。安価な無名メーカーの製品は、セキュリティ対策が不十分なケースが多いため、信頼性の高いメーカーの製品を選ぶことが長期的な安全性につながります。2024 年から EU では Cyber Resilience Act (サイバーレジリエンス法) が施行され、IoT 製品にセキュリティ要件の適合が義務付けられました。CE マーク付きの製品を選ぶことも、セキュリティ品質の判断材料になります。パスつく.com で各デバイスに固有のパスワードを設定し、定期的に更新する運用を組み合わせることで、IoT 環境全体のセキュリティを大幅に向上させることができます。

関連記事

パスワードを生成する →