4月下旬~5月にかけて、複数の自治体で、河川監視などに利用している監視カメラが不正アクセスを受けたというニュースが報じられました。インターネットを介して川の増水状況などを把握できる仕組みになっていたのですが、何者かによる不正アクセスを受け、画面に「I'm Hacked. bye2」といったメッセージが表示されるようになっていたそうです。他に、東京電力が設置していた監視カメラなど、複数の機器が同様の被害に遭ったことが明らかになっています。
報道によると、今回の原因もまた「パスワード」。監視カメラの管理画面にアクセスするにはパスワードが必要ですが、デフォルトのパスワード設定を変更せずに運用していた結果、不正アクセスを受けたと報じられています。
これは、IoT機器のセキュリティが注目を集めるきっかけとなった「Mirai」と同様の経路です。Miraiの場合は容易に推測可能なパスワードを破られて不正侵入された後、マルウェアに感染させられ、他者へのDDoS攻撃に使われました。今回の不正アクセスでは、目に見える被害は「画面の改ざん」でしたが、そこに至る原因は、やはり安易なパスワードでした。
インターネットにつながる以上、IoT機器についても、ITシステム同様に推測されにくい長いパスワードを設定し、管理することが重要です。けれど、その基本的な対策がまだまだ浸透していないことを痛感します。
余談ですが、1人1台や1人数台といったレベルではなく、何十台、何百台ものIoT機器を管理することを考えると、手動でのパスワード管理、あるいはパスワードだけに頼ったセキュリティには限界があることも感じます。
家電製品やクルマ、センサーを組み込んだ建物そのものなど、あらゆるモノがネットにつながり、互いにデータをやりとりするIoT時代が本格的に到来しようとしています。それ自体は歓迎すべきことですが、IoT機器やシステムにおける基本的なセキュリティ対策の不備が原因となって、思いもよらぬリスクが浮上しているのも事実です。
この連載ではインターネットの普及期から今までPCやITの世界で起こった、あるいは現在進行中のさまざまな事件から得られた教訓を、IoTの世界に生かすという観点で、対策のヒントを紹介していきたいと思います。
さて、一連の不正アクセスを踏まえて、キヤノンやプラネックスコミュニケーションズ、ソリッドカメラといった監視カメラのメーカーが、相次いで注意喚起の文書を公開しています。
Copyright © ITmedia, Inc. All Rights Reserved.
「会社が適切な評価をしてくれない……」離職の裏には社員の見えない不満が? ポイント制度とLINE WORKSを活用した新システムが登場。ITmediaの営業チームが試してみた。