セキュリティのトレンド:IoT機器がDDoS攻撃の踏み台に!? IoT機器の設定を確認しよう!:Inside-Out
身近な機器といえども、インターネットにつながっていると、悪意のある攻撃に狙われる恐れがある。IoT機器の設定確認は、不可欠である。見直すポイントについてまとめてみた。
この記事は会員限定です。会員登録(無料)すると全てご覧いただけます。
本記事は、株式会社インターネットイニシアティブの許可をいただき、「IIJ.news Vol.169」の「セキュリティのトレンド 2022 Spring IoT機器の設定を確認しよう!」(2022年4月号)を転載したものです。そのため、用字用語の統一ルールなどが、@ITのものと異なります。ご了承ください。
執筆者プロフィール
土屋 博英
IIJ セキュリティ本部 セキュリティ情報統括室
セキュリティインシデント対応・セキュリティ関連情報の収集と社内外への展開・関係団体を通じた情報共有・対応連携の構築と運用に携わる。
設定確認の重要性
インターネットを介した多様なサービスを手軽に利用できるようになりました。PC、タブレット、スマートフォンだけでなく、スマートスピーカー、ネットワークカメラ、連携機能を持ったスマート家電といった「IoT 機器」を使われている方も多いと思います。
生活を豊かにしてくれる便利な機能を手軽に使えるようになった反面、IoT 機器の管理・設定の不備や脆弱性(ソフトウェアの不具合)を狙った悪意のある攻撃も多発しています。
攻撃はインターネット上で無差別に行なわれており、誰でも被害を受ける可能性があります。これらの攻撃は自分自身が被害者となるだけでなく、攻撃を受けた機器が次の攻撃に悪用されることで、加害者となってしまう危険性もはらんでいます。
IIJのお客さまのなかにも攻撃を受けて、DDoS 攻撃の踏み台になってしまったといった事例が発生しています(Inside-Out「セキュリティのトレンド:あなた発のDDoS攻撃がインターネットを脅かす!?」参照)。そうしたお客さまに利用環境を確認すると、ルータなどのネットワーク機器だけでなく、ネットワークカメラやNAS*などの機器が踏み台にされ、別の攻撃に悪用されている事例が多いことがわかります。
*NAS(Network Attached Storage):ネットワーク接続された HDD などの記憶装置のこと。
利用者は家のなかでのみ使っているつもりでも、設定によっては、インターネットに公開している状態になっており、不特定多数からカメラの映像をのぞき見されたり、プライベートなファイルを期せずして公開してしまっているといったケースもあり得ます。
例えば、スマートフォンのアプリを介して、外出時にも機器を遠隔操作できるものがありますが、設定状況によってはインターネットを通じて、正規の通信だけでなく、悪意のある攻撃を目的とした通信を受けてしまう危険性もあります。
これらを防ぐには、利用している機器の設定が安全かどうか、適切に確認する必要があります。
確認するポイントを挙げると――
- IDやパスワードが初期設定のまま機器を使っていないか確認する。
- 利用している機器のファームウェアやソフトウェアが最新版にアップデートされているか、メーカのサイトなどで確認する。
- 覚えのない設定が入っていないか、インターネットから制限なく接続できる設定になっていないか確認する。
- 覚えのない機器や想定していない機器が接続されていないか確認する。
Copyright© Digital Advantage Corp. All Rights Reserved.
ITmediaはアイティメディア株式会社の登録商標です。