第35回 いまIoTで”コンシューマー向け機器”が危ない理由：日本型セキュリティの現実と理想（3/3 ページ）

[武田一城，ITmedia]

「野良IoT」機器がもたらす問題

　適切に管理されている機器なら、インターネットからtelnetが使えることは通常ではあり得ない。使えるということは、誰にも管理されていない機器か、インターネット接続のための最低限の知識がない人が所有もしくは管理しているものといえるだろう。この連載でも何度か取り上げている「野良IoT」機器が、その被害者だということにつながる。

　まるで本来は飼育されるはずの動物などが放置されて“野良○○”と言われる状況が、IoT機器にも起こっているわけだ。「野良IoT機器」は飼育されなくても強い生存本能で自活できる動物のように、セキュアな設定かどうかに関係なくそのままインターネットに接続され、動作し続ける。

　そして、telnetを利用すれば、世界中の誰でも簡単に「野良IoT」機器を操れる。もちろん、23ポートが何の制限をされていなくてもID/パスワードは必要だが、“野良”化したIoT機器を手なずけるのは簡単だ。実は、工場から出荷された状態では、ごく単純な「1234」などの初期設定のままになっている機器が多いからだ。

　本来なら実施されているはずの接続制限とすぐに想定できてしまう単純な（またはマニュアルなどで公表されている）ID／パスワードの2つがそろえば、IoT機器は攻撃者にとって都合の良いカモになってしまう。

　もちろん、このようなIoT機器はユーザーに一定のシステムや機器制御の知識があれば、後から適切な設定をし直すことができる。しかし、それを全てのコンシューマーに要求するのは酷だ。コンシューマー向けIoT製品は、製品出荷の時点で、製造元によってそれらの設定が本来なされるべきだろう。

　いまのIoTは、コンシューマー向け機器を中心に普及が進んでいる。しかし、その製品にセキュリティの点で適切な設定がなされていない。そして、ユーザーもその知識を持っていない。攻撃者はその状況を“絶好のカモ”として利用している――残念ながら、これが現状である。だからこそ、いま対策が必要なのは、脆弱な設定で放置されがちな“コンシューマー向けIoT機器”だ。

　日本ネットワークセキュリティ協会（JNSA）は、この危機的な状況を世の中に認知してもらい、セキュリティ対策を促すために、IoTセキュリティWGが「コンシューマ向けIoTセキュリティガイド」を作成し、公開した。次回はこのガイドをもとに解説を進めよう。

武田一城（たけだ かずしろ）　株式会社日立ソリューションズ

1974年生まれ。セキュリティ分野を中心にマーケティングや事業立上げ、戦略立案などを担当。セキュリティの他にも学校ICTや内部不正など様々な分野で執筆や寄稿、講演を精力的に行っている。特定非営利活動法人「日本PostgreSQLユーザ会」理事。日本ネットワークセキュリティ協会のワーキンググループや情報処理推進機構の委員会活動、各種シンポジウムや研究会、勉強会などでの講演も勢力的に実施している。

• TechTarget連載：今、理解しておきたい「学校IT化の現実」／失敗しない「学校IT製品」の選び方
• 著書「内部不正対策 14の論点」（共著、JNSA／組織で働く人間が引き起こす不正・事項対応WG）