IoTによるセキュリティ対策 サイバー攻撃の脅威と対策【IoT活用事例】

☑このページで紹介している内容はシステム開発が必要です。
☑このページで紹介している内容はIoTの活用案です。
 

ユーピーアールのオフィスセキュリティ

あらゆる製品がインターネットに接続される現在、個人情報の漏洩や防犯意識の高まりの上昇につれて、より精度の高いオフィスセキュリティを導入する企業が増加しています。

そんな社会情勢を背景に、ユーピーアールでは独自のIoT技術によるオフィスセキュリティの導入を提案しています。

サイバー攻撃の増加なども問題化している社会情勢を背景に、ユーピーアールでは被害対策のため、独自のIoT技術による対策をオフィスセキュリティシステムの導入にて提案しています。

ユーピーアールが提案するオフィスセキュリティは、警備会社のセキュリティサービスと比べて、柔軟性があり、低価格で提供できるのが強みです。

オフィスセキュリティの動向と、ユーピーアールのオフィスセキュリティサービスについてご紹介します。

 

オフィスセキュリティに対する意識の高まり

オフィスセキュリティの意識は年々高まってきています。

その大きなきっかけは、2005年4月に全面施行された「個人情報保護法」です。

個人情報保護法は、個人情報を取り扱う業者に義務を課す法律で、大きく分けて５つの原則で構成されています。

①　利用方法による制限（利用目的を本人に明示）
②　適正な取得（利用目的の明示と本人の了解を得て取得）
③　正確性の確保（常に正確な個人情報に保つ）
④　安全性の確保（流出や盗難、紛失を防止する）
⑤　透明性の確保（本人が閲覧可能なこと、本人に開示可能であること、本人の申し出により訂正を加えること、同意なき目的外利用は本人の申し出により停止できること）

特に④の安全性の確保が、オフィスセキュリティに対する意識の高まりに直結しています。個人情報保護に対するセキュリティと言うと、パソコンやインターネットなどのサイバー対策にスポットライトが当たりがちです。

その一方で、個人情報漏えい被害の原因で多いのは、「紛失・置き忘れ」や「盗難」で、不正アクセスによるインターネットを介して外部に流出した被害よりも実は多いもの。

不正アクセスによりインターネット経由で外部に流出した事件よりも実は被害件数が多いのです。 さらに2017年には個人情報保護法は改正され、義務などがさらに明確になりました。今後も攻撃を防ぐためのオフィスセキュリティへの意識はいっそう高まっていくと考えられます。

【不正流出のリスク】

もし「安全性の確保」が不十分だったことが理由で、個人情報が記載されている資料やパソコンを攻撃者に盗難され、それが大規模な情報漏えいに繋がってしまった場合、受けた被害以上に、その企業は大きなダメージを受けるリスクが高くなります。

企業に降りかかるリスクとして少し考えるだけでも「損害賠償」、「社会的な信用の失墜による取引先との取引停止」などが挙げられます。最悪の場合、一つの攻撃により事業そのものが存続できなくなるケースもあるでしょう。

事前にWEBと接続されたデバイスに対して、被害対策をとっておくことが今は必須ともいえる社会状況になってきているのです。
 

IoTデバイスのセキュリティ対策

モノとインターネットが接続されたIoTの普及に伴い、増えているのがインターネットに接続されたデバイスを狙ったサイバー攻撃です。攻撃の対象はネットワークカメラやルータ、デジタルビデオレコーダーなど。「Mirai」、「Hajime」を代表とするマルチウェアに感染させ、接続されたインターネット経由での遠隔操作を可能にします。攻撃者は、それら（踏み台と呼びます）を多数つくり、任意のコマンドを同時に実行できるようになるのです。

対策としては、まずは機器メーカー側の対応が大前提となります。サポートが充実している製品を選ぶのが当然でしょう。利用者側ができることと言えば、複雑なパスワードの設定、こまめな電源の入切、デバイスの適切な処分です。基本的なことに見えるかもしれませんが、それを徹底することが、攻撃から身を守ることに大きく影響します。

 

サイバー攻撃の事例

近年、IoT機器を狙ったサイバー攻撃が増加しています。業務用のPCのセキュリティ対策は万全でも、IoT機器はつい後回しにして、「パスワードが初期設定のまま」「ファームウェアやソフトウェアのアップデートをしていない」というケースが少なくないからです。

ShodanやCensysといったIoT機器の検索エンジンを通じて、セキュリティ対策の甘いデバイスはすぐに発見されてしまいます。
 

マルウェアMiraiによるIoT機器への攻撃

IoT機器へのサイバー攻撃の代表的な事例が、マルウェアMiraiを利用した攻撃です。

2016年10月21日、Twitter、Netflix、PayPal、PSN（PlayStation Network）などのWebサービスが次々と攻撃を受け、大規模なアクセス障害が発生しました。
その原因は、インターネットサービスのドメインとIPアドレスを関連付け、ユーザーがサービスを利用するために欠かせないDNS（Domain Name System）がDDoS攻撃（Distributed Denial of Service attack）を受け、断続的なエラーが発生したからです。

このDDoS攻撃の発信源が、セキュリティ対策が不十分なIoT機器でした。
2016年9月には約18万台のIoT機器がMiraiに感染し、パケットが約620Gbpsにも上る大規模なDDoS攻撃が発生しています。2017年11月以降は、Miraiのソースコードが公開されたことで、Miraiを模倣した多数のマルウェアが誕生し、IoT製品への攻撃を繰り返しています。

オフィス用のIoT機器がMiraiに感染すれば、DDoS攻撃の踏み台となり、ボットネットワークの一部に組み込まれ、知らないうちにサイバー攻撃の加害者となってしまいます。

 

Bluetooth接続の脆弱性を利用したIoT機器への攻撃

マルウェアのほかにも注意が必要なのが、IoT機器に使われるBluetooth接続にひそむ脆弱性です。
Bluetooth接続は、従来コンピューターやスマートフォン、タブレットに使われてきた無線通信の規格ですが、近年はスマート家電やスマートスピーカーといったIoT製品にも広く使われています。全世界に存在するBluetooth機器は、およそ82億台を超えるともいわれています。[注1]

2017年9月12日、アメリカのセキュリティ企業Armis Labsが、Bluetoothに「BlueBorne」と呼ばれる8種類の脆弱性がひそんでいることを報告しました。
Bluetoothの有効範囲（約10メートル以内）でしか影響がないものの、この脆弱性はBluetoothデバイスのペアリング作業をスキップすることで、第三者によるIoT機器の乗っ取りや情報窃取を可能にします。

注意が必要なのは、Bluetoothが有効になっていれば、ユーザーの預かり知らぬところで攻撃が行われうる点です。
今のところ、BlueBorneを利用したサイバー攻撃の事例は存在せず、iOSやAndroidなどのOS・プラットフォーム側やIoT機器のメーカーによって、セキュリティホールへの対策が行われています。
オフィスでBluetooth機器を使用している場合は、必ずアップデートを行い、最新のセキュリティパッチを適用しましょう。

[注1]Armis Labs：The Attack Vector “BlueBorne” Exposes Almost Every Connected Device

 

IoTネットワークカメラを乗っ取る攻撃の事例も

ネットワークカメラ（Webカメラ）を使用している企業は、今もサイバー攻撃の被害に遭っているかもしれません。インターネットを通じて、セキュリティ対策の甘いカメラを乗っ取ることにより、情報漏えい、改ざん、機能停止などの被害が発生しています。

日本国内でも、2018年4月から5月にかけて、地方自治体が運営する河川用の監視カメラなどが集中的に不正アクセスを受け、カメラの映像に「I’m Hacked. bye2」といういたずらメッセージを表示させたり、パスワードを書き換えて操作できなくしたりする被害が相次いで発生しました。
 

サイバー攻撃への対策

IoT機器へのサイバー攻撃を対策する方法は、大きく分けて3つあります。

• ユーザーIDやパスワードは必ず変更する

IoT機器のユーザーIDやパスワードが工場出荷時のままの企業は、サイバー攻撃の標的になりやすいため、すぐに変更しましょう。
ただし、覚えやすいからといって「1234」「password」といった安直なパスワードを設定するのではなく、複雑で推測されにくい文字列を選ぶ必要があります。パスワードが思いつかない場合は、パスワードの文字列を生成するサービスなどを利用しましょう。

• 使わないIoT機器はネットワークから遮断する

IoT機器へのサイバー攻撃は、外部ネットワークを通じて行われます。今のところ使う予定がないIoT機器がオフィスにある場合は、「機器の電源を切る」「ネットワークから切断する」といった対策をとることで、サイバー攻撃の被害を防止できます。
また、Bluetooth機器を使っている場合は、使い終わったらBluetooth接続を解除することで、BlueBorneを利用した乗っ取りを防げます。

• ファームウェアやソフトウェアは最新の状態に

IoT機器のメーカーは、サイバー攻撃の脅威に対処するため、自社のデバイスに脆弱性がないか調査を行い、定期的にファームウェアやソフトウェアのアップデートを行っています。
IoT機器のアップデートを怠れば、機器の脆弱性を通じてサイバー攻撃を受ける可能性があります。オフィスでIoT機器を使う場合は、アップデートがないか確認し、最新のセキュリティパッチを適用しましょう。
 

入室管理の重要性

オフィスセキュリティには、監視カメラやサイバーセキュリティなど色々種類がありますが、ユーピーアールはその中でも最も重要でまず手を付けるべきセキュリティの一つとして「入退室管理」の導入を強く推進しています。

もし、オフィスに出入りする人を誰も把握していないとしたら、盗難の被害者になってしまう可能性も高まります。

来客には受付で記帳するほか、従業員はタイムカードを使った管理などで入退室管理をしている企業もたくさんあります。 ただ、それだけでは悪意を持った攻撃者からの被害を防ぐことはできません。

来客については、受付だけでは退出の時間が不可能です。もし面談した部屋や会社の玄関で来客と別れた場合、その後にオフィス内や工場を歩き回って「物色」されてしまう可能性もあるのです。 また、従業員がタイムカードで勤怠情況は分かっても、会社や工場のどこで何をしているのかを把握することはできないでしょう。例えば、重要な資料がある部屋に業務とは全く関係ない悪意を持った社員が入室しても、このような状況では分かることはありません

つまり、本当の意味での入退室管理とはただの受付ではなく、セキュリティレベルで部屋ごとに認証を求めるなど、計画的でしっかりとしたオフィスのことを言うのです。
 

攻撃者から狙われている情報

オフィスで窃盗を行なう外部犯・内部犯は一体、どのようなモノなのでしょうか。個人情報が特に多いですが、ほかにも、

• 契約書
• 見積書
• 企画書
• スケジュール表

など、社内で当たり前のように使っていて、机の上に置いてある内部資料なども実はとても重要な資料なのです。 自社の情報が競合他社に渡ってしまう可能性もあり、場合によっては事業自体が進めづらくなってしまうこともあるでしょう。

自社の情報が競合他社に渡ってしまう可能性もあり、場合によっては事業自体が進めづらくなってしまうこともあるでしょう。

自社の資料だけでなく、社外秘、部外秘の資料もセキュリティのないロッカーや机の中に入れていることもあります。そのようなオフィスに攻撃者が入ってくることを恐ろしいと思いませんか？

 

ユーピーアールのオフィスの入退管理

ユーピーアールは、以下のようにオフィス入退管理の導入を提案し、攻撃からオフィスを守ります。

• 利用するデバイス

• スマートタグ

各々の社員が携帯しやすく低消費電流のタグを選定

• センサー

ドアの開閉を検知するために窓の開閉の邪魔にならない薄型のマグネッ トセンサーを選定

• ブリッジ

センサーのデータをゲートウェイまで送信できるもの

• レシーバー

タグのデータを取得しゲートウェイまで送信できるもの

• 利用するシステム

• ネットワーク

事務所に引き込んでいる固定回線を利用します。Wi-fiでブリッジやレシーバーと接続できるタイプのゲートウェイとなります。

• クラウド

各種センサー情報についてはユーピーアールの運営するプラットフォーム「UPR OCEAN」、ゲートウェイから取得した情報を既存アプリケーションのカスタマイズすることで閲覧可能。特定の時間で特定のセンサーが動作した場合にアラートを発報させたり、特定のステータスに特定のセンサーが動作した場合・動作しなかった場合にアラートを発報させたりする機能を有します。
 

ユーピーアールの強み

• 豊富なIoTソリューションの実績

ユーピーアールはセキュリティだけでなく、輸送業界の世界規模の追跡システムなど幅広いIoTソリューションのコンサル実績を積み重ねています。お客様に最適なデバイスやサービス、必要なパートナーなどをご提案することが可能です。

• 安価で導入可能

セキュリティサービスの導入に踏み切れない事業者の多くの方が、導入の課題に「初期投資・ランニングコスト」を挙げています。 ユーピーアールは自社で運営するIoTプラットフォームを利用することで、WEBアプリケーションの構築の工数を削減できるため、安価な導入が可能になります。 また、他社のセキュリティ製品やサービスはたとえ誤作動であっても、セキュリティ会社の方にスタッフが駆けつけてしまうと、「かけつけ料」という追加費用を求められるケースがあります。 ユーピーアールでは基本的に事業者や担当者にアラームが届くような接続の仕組みになっているので、誤作動による費用が発生する必要はありません。

• 他のセキュリティも導入可能

自社で開発スタッフを抱えているので、入室管理だけでなく、他のセキュリティ技術（センサー情報のモニタリング、監視カメラの映像をアプリケーション内に取り込む）と組汗・接続しても、ユーピーアールが主体となり、プロジェクトの推進やシステム開発をコンサルすることができます。
 

導入の効果

• オフィス内のリソース把握が容易に

タグのデータを管理することで社員が何時出入りしたのか、現在在席なのかどうかが遠隔でも確認できます。オフィス内のリソースをいつでも把握することができ、外出が多い経営者が外にいながらでも内部と接続された状態となれ、適切なマネジメントが可能になります。

• 不審者の侵入をいち早く

タグの出入りデータと、ドアセンサーの開閉データを照合することで、社員以外がドアを開けたのかどうかを把握することができ、不審な侵入および被害をいち早く検知することができます。

• 警報で被害を未然に防ぐ

セキュリティのステータスを営業時間内、営業時間外等とわけることで、センサーの反応に対して警報を自動で鳴らすことができる。営業時間外の不正侵入をリアルタイムで把握することができる。