監視カメラへの不正アクセスを機に考える、注意喚起のあるべき姿:ITの過去から紡ぐIoTセキュリティ(3/3 ページ)
4月下旬〜5月にかけて、複数の自治体で、河川監視などに利用している監視カメラが不正アクセスを受け、画面に「I'm Hacked. bye2」と表示される被害が相次ぎました。その原因は「パスワード」でした。
このニュースや注意喚起文書のURLをTwitterで検索してみると、「デフォルトパスワードのまま運営しているなんて」と、多少なりともセキュリティに関する知識を持った人の嘆きの声こそ出てきますが、それ以上の広がりが見えてきません。しかし、ある日、不正アクセスを受けて困るのは、おそらくそれまで脅威を知らず、対策の必要性を意識することのなかった人であることが多いように思います。
かつて、筆者がOSのパッチ適用やウイルス対策ソフトの定義ファイルの更新を呼び掛ける記事を書いていた当時、何度も「この記事が気にならないような人にこそ、この記事を読んでほしいのにな」と感じたことがあります。IoTの時代にそれを繰り返さないために、メディアを通じて冷静にリスクと対策を伝えていくのももちろんですが、インターネットにつながっているという特性を生かしたプッシュ型の通知など、新しい伝え方を模索してみてもいいのかもしれません。
昔々のその昔、世紀が変わり始めた頃、「いたずらにユーザーを不安にさせるのはよろしくない」「不正アクセスの模倣犯を助長する」といった理由から、ITの世界で増え始めた不正アクセスや脆弱性に関する情報を公にしたり、騒ぎ立てるのは控えるべきだとする論調がありました。
しかし、好むと好まざるとにかかわらず、不正アクセスやサイバー攻撃はゼロになりません。深く知らないままユーザーをリスクに直面させるよりは、問題は何で、どの環境が影響を受けるのか、回避策や根本的な対策は何で、それを適用した場合の副作用は何かといった正確な情報を伝えることが第一歩ではないでしょうか。
今回はたまたま推測可能なパスワードが原因でしたが、脆弱性だったり、アクセス制御の不備など、他の原因に起因するケースでも、根本的な原因はどこにあるかを踏まえ、それに応じた実効性ある対策を呼び掛けていくことが重要だと感じます。
セキュリティに関する情報公開には、最初は強い風当たりがあるかもしれませんが、より踏み込んだ情報を公開し、理解を促すことが、回り道に見えて一番の近道だと信じたいところです。
著者:高橋睦美(たかはし・むつみ)
一橋大学社会学部卒。1995年、ソフトバンク(株)出版事業部(現:SBクリエイティブ)に入社。以来インターネット/ネットワーク関連誌にて、ファイアウォールやVPN、PKI関連解説記事の編集を担当。2001年にソフトバンク・ジーディーネット株式会社(現アイティメディア)に転籍し、ITmediaエンタープライズ、@ITといったオンライン媒体で10年以上に渡りセキュリティ関連記事の取材、執筆ならびに編集に従事。14年8月に退職しフリーランスに。
関連記事
- Twitterパスワード変更の注意点、マカフィーが公開
Twitterが全ユーザーにパスワード変更を求めている件で、マカフィーはパスワード変更時に「12345」「password」などを避けるよう呼び掛け。 - 相次ぐルーターへの攻撃、厄介なのは「気付きにくい」こと
3月中旬以降、インターネットに接続するルーターが不正アクセスを受けた事件が報じられています。この攻撃の厄介なところは、DNS情報の書き換えというユーザーには気付きにくい手法が用いられていることです。 - つながる世界の「安全神話」 アクセス制御が“徹底できない”ワケ
「別に何か設定をしなくても、本来つながるべき適切な相手にのみつながる」――IoT機器が普及する一方、そんな“思い込み”を持っている人は少なくありません。不正アクセスの被害を軽減するには、適切なネットワークのアクセス制御が必要と分かっているのに徹底できない理由は。 - 史上最悪規模のDDoS攻撃 「Mirai」まん延、なぜ?
インターネットの普及期から今までPCやITの世界で起こった、あるいは現在進行中のさまざまな事件から得られた教訓を、IoTの世界で生かせないか――そんな対策のヒントを探る連載がスタート。
Copyright © ITmedia, Inc. All Rights Reserved.