はじめに
IoT (Internet of Things) は、従来のコンピューターに限らず、家庭用電化製品や産業機器、医療機器など様々な「モノ」をインターネットに接続する技術である。スマート家電、監視カメラ、工場のセンサー、ロボット、物流機器などが相互に連携し、データ収集と自動化を可能にする一方、セキュリティ設定が不十分な機器や脆弱なファームウェアが大量にネットワークに接続されている現状がある。情報セキュリティ白書2025は、IoT機器の脆弱性がサイバー攻撃の入り口となり、DDoS攻撃の踏み台やランサムウェアの拡散源として悪用されている実態を指摘している。本記事では、IoT機器に対する脅威の動向を国内外の観測データや攻撃事例から読み解き、対策のポイントを提示する。
1. NOTICEプロジェクト – 国内のIoTセキュリティ強化
日本国内では、総務省・NICT・ICT-ISACが中心となって「NOTICE(National Operation Towards IoT Clean Environment)」プロジェクトを推進している。この取り組みは、ISP事業者・IoT機器メーカー・SIerと連携し、サイバー攻撃の発生や被害を未然に防ぐことを目的とする。2024年4月以降、NOTICEは活動範囲を拡大し、以下の三つの調査・通知を行っている。
- ID・パスワードに脆弱性があるIoT機器の調査
- 容易に推測できる管理者ID・パスワードを設定しているデバイスを特定し、管理者に通知して変更を促す。攻撃者は単純な認証情報を片っ端から試すブルートフォース攻撃によりデバイスを乗っ取るため、この対策が重要である。
- マルウェア感染機器の情報提供
- 既にマルウェアに感染していると推定されるIoT機器のIPアドレスを監視し、ISPを通じてユーザーに情報提供する。感染機器はDDoS攻撃や迷惑メール送信などに悪用される可能性が高い。
- ファームウェアに脆弱性がある機器の調査
- ファームウェアに重大な脆弱性が存在するIoT機器を特定し、メーカーや関係機関との連携を強化して早期の対策を促す。
NOTICEは2025年3月時点で月1.25億台のIoT機器に対して観測を実施し、脆弱な認証設定、ファームウェア脆弱性、マルウェア感染、リフレクション攻撃の踏み台となり得る機器の件数を集計している。危険性の高いIoT機器の管理者には、ISP経由で電子メールや郵便による注意喚起が行われる。このように、官民連携によりIoTの大規模な監視と周知活動が進められていることは注目に値する。
2. 攻撃の観測 – IIJによる月次レポート
インターネットイニシアティブ (IIJ) は、国内の攻撃観測情報と分析結果を月次レポートとして公開している。その中で2024年に観測された主な攻撃は以下の通りであり、いずれもルーターやファームウェアの脆弱性を狙ってIoT機器を乗っ取ることを目的としている。
- Realtek Jungle SDKにおけるコマンドインジェクションの脆弱性(CVE-2021-35394)
- RealtekのSDKを利用したルーターやIoT機器に存在する脆弱性で、遠隔からOSコマンドを実行される恐れがある。2024年を通して攻撃が観測され、パッチ未適用デバイスが標的となった。
- TP-Link Archer AX21の非認証コマンドインジェクション脆弱性(CVE-2023-1389)
- 認証なしに管理用インターフェースへアクセスし、コマンドを実行できる脆弱性。攻撃者はマルウェアを送り込み、ボットネットに組み込む。
- Netis/Netcoreルーターのデフォルトクレデンシャル脆弱性
- デフォルトのIDとパスワードが公開されていることを悪用し、ルーターへ不正侵入する攻撃が2024年1〜4月と7月に観測された。
- Zyxel製ルーターのUNIX IFS Shellリモートコード実行脆弱性
- 2024年初頭に観測された脆弱性で、攻撃者はルーターのファームウェアにコマンドを注入し、ボットネットのノードとして利用する。
これらの脆弱性を悪用した攻撃は世界中で観測されており、ファームウェアの公開とパッチ提供が遅れること、ユーザーが更新作業を怠ることが感染拡大の一因となっている。IIJのレポートでは、「Default Credential」や「EOL (End-of-Life) 製品」の存在が目立つ点にも触れられ、サポート終了後の機器を使い続けることがリスク増大に直結すると警鐘を鳴らしている。
3. 感染IoT機器の悪用 – DDoSとボットネット
サイバー攻撃者がマルウェア感染させたIoT機器を悪用する主な目的は、大規模なDDoS (Distributed Denial of Service) 攻撃である。DDoS攻撃対策サービスを提供するCloudflare社の報告では、2024年第1四半期に4.5百万件(2023年全体の32%に相当)の攻撃を軽減し、最大で2Tbpsに達するMirai亜種ボットネットによる攻撃が確認された。第3四半期には攻撃数が急増し、3.8Tbpsの高パケットレート攻撃を65秒間防御した事例や、9月に観測された最大5.6TbpsのUDP DDoS攻撃が記録されている。これらの攻撃はMikroTik社のIoT機器やDVR、ASUSTeK社のルーターなどから大量のトラフィックが発生したと考えられており、ボットネットの規模と能力が増大していることが窺える。
また、オーストラリアのGSL Networksは2024年8月にピーク3.15Gパケット/秒のDDoS攻撃を軽減し、MAXTECHルーターやDrayTek Vigorルーター、Hikvision IPカメラなど5,253台のIoT機器がボットとして検出されたと報告している。さらに、攻撃者がVPN技術と感染デバイスを組み合わせてメッシュネットワークを形成し、ネットワークの実態を難読化する「ORBネットワーク」の活動に関するアドバイザリーがFBIやNSAから公開されている。こうしたメッシュ型ボットネットは検知と追跡を困難にし、DDoS攻撃に加えてデータ窃取や不正プロキシとして悪用されるリスクがある。
4. IoT機器別の脅威 – ルーター、NAS、その他
IoT機器のセキュリティ脅威はデバイスの種類によって特徴が異なる。白書では、特にルーターやNAS (Network Attached Storage) 装置を中心とした脅威が紹介されている。
4.1 ルーターの脆弱性 – EOL製品の危険
2024年、世界中のルーターには多数の脆弱性が報告され、攻撃者に悪用された。特にD-Link社製ルーターでは、CVE-2024-0769など数多くの脆弱性が公開された。中にはメーカーが使用中止を呼びかけた製品もあり、ゼロデイ脆弱性や工場テスト用バックドアの存在が明らかになった例もある。TP-Link社、NETGEAR社、Linksys社、DrayTek社などの製品でも深刻な脆弱性が多数公開されており、一部は製品のEOLに伴ってパッチが提供されないまま残されている。表1-2-6〜表1-2-8では、各ベンダーの脆弱性とともに「EOL」欄が設けられ、ライフサイクルが終了した製品が多く含まれていることが強調されている。ユーザーは古い機器の代替やファームウェア更新を検討し、脆弱性を抱えた機器をネットワークに残さないことが求められる。
4.2 NASへの脅威 – ランサムウェア感染
NASは、データバックアップやファイル共有のために企業や個人が広く利用している。しかし、NASが直接インターネットに接続されることが多く、ルーター同様に脆弱性を突いた侵入やランサムウェア感染が増加している。特定の脆弱性により攻撃者が遠隔からNASの管理画面にアクセスできるケースも報告され、データ暗号化と身代金要求が行われている。表1-2-7にある通り、2024年には多数のNAS製品でゼロデイ脆弱性や認証回避の脆弱性が公表され、メーカーが使用中止やファームウェア更新を呼びかけた。
4.3 その他 – 様々なIoT機器とEOL問題
IoTデバイスは家庭用家電から医療機器まで多岐にわたるが、共通する問題は、製品ライフサイクルが長くセキュリティ更新が行われないままネットワークに接続され続けることである。特にEOL製品では、ベンダーが脆弱性情報を公開してもパッチが提供されないため、攻撃者の絶好の標的となる。ユーザーは機器のサポート状況を確認し、セキュリティ更新が停止した製品を早期に置き換えるとともに、ネットワークから隔離する対策が必要となる。
5. IoTマルウェアの進化 – Miraiの亜種と新たなボットネット
代表的なIoTマルウェアであるMiraiは2016年に登場したが、その後も多数の亜種が開発され、今日に至るまでボットネットの構築に利用されている。Miraiの特徴は、TelnetやSSHの認証情報をブルートフォースで突破し、複数のCPUアーキテクチャに対応したマルウェアを感染させる点にある。白書では、HTTPレイヤやL3/L4レイヤにおけるMirai亜種による攻撃が大規模化し、DDoS攻撃の主要な脅威となっていることが報告されている。また、新たなマルウェアファミリーとして、暗号資産マイニングやVPN接続の難読化を目的としたボットネットが登場しており、感染デバイスを組み合わせたメッシュネットワークが観測されている。
IoTマルウェアは、初期アクセス手法の多様化(default credential攻撃、既知の脆弱性の悪用、サプライチェーン攻撃)、ペイロードの高度化(DDoS攻撃に加えて暗号資産マイニングやスパム送信)、通信の難読化(VPNやTorの利用)など、進化を続けている。感染端末の膨大な数と地理的分散により、ボットネットを完全に無力化することは難しい。よって、感染を減らすための予防策と早期検知が重要になる。
6. IoTのサプライチェーンとEOLリスク
IoT機器は多様なベンダーとサプライヤーが連携して製造されるため、サプライチェーン全体でのセキュリティ管理が求められる。ハードウェアに組み込まれるファームウェアやライブラリの中には、開発元が脆弱性を公開してもOEM製品では更新が追随しないケースがある。また、製造元が破産や撤退によりサポートを打ち切るケースも多く、サプライチェーンの下流にいる利用者は脆弱性情報を得ることさえ困難になる。このようなEOLリスクに対応するためには、調達時にセキュリティ要件を契約に盛り込み、SBOM (Software Bill of Materials) の提供やサポート期間の明確化を求めることが望ましい。
7. IoTセキュリティ対策のポイント
IoT機器のセキュリティは、「設計・導入段階」「運用段階」「廃棄・リプレース段階」の各フェーズで適切な対策を実施することが求められる。白書が示す対応策や業界ベストプラクティスをまとめる。
7.1 設計・導入段階
- セキュア・バイ・デザインの採用
- 製品設計段階からセキュリティ要件を考慮し、脆弱性低減策を組み込む。認証機能の強化、暗号化通信の標準採用、ハードウェアのセキュアブートなどを実装する。
- SBOMとサプライチェーン管理
- SBOMを生成し、使用しているソフトウェアコンポーネントやバージョンを明確にする。調達者に対し、脆弱性の管理情報を迅速に提供できる体制を整える。
- EOLポリシーの明確化
- 製品のサポート期限を明示し、EOL後に発覚した脆弱性への対応方針を共有する。長期使用が想定される機器ほど、サポート体制が重要である。
7.2 運用段階
- 強固な認証情報の設定
- デフォルトのID・パスワードを変更し、推測されにくい文字列を設定する。可能であれば二要素認証を導入する。
- 定期的なファームウェア更新
- ベンダーが提供する最新ファームウェアを適用し、既知の脆弱性を修正する。更新通知を自動で受信する仕組みを導入し、適用漏れを防ぐ。
- 不要な機能の無効化
- 利用しないサービスやポートを閉じ、攻撃面積を減らす。外部からアクセスされる必要のない管理インターフェースはLAN内からのみ接続可能とする。
- ネットワーク分離とアクセス制御
- IoT機器をセグメント化し、重要なシステムと隔離する。ファイアウォールやVLANでトラフィックを制御し、リモートアクセスは必要最小限に限定する。
- 監視とログ分析
- IDS/IPSやSIEMを導入してトラフィックやログの異常を検知する。IoT専用の監視サービスを利用して、侵入やマルウェア活動の兆候を早期に発見する。
- インシデント対応計画の策定
- 機器が侵害された際の手順(隔離、初期化、証拠保全、報告)を事前に定め、演習によって従業員の対応力を高める。
7.3 廃棄・リプレース段階
- データの完全消去
- 廃棄前に機器に保存されたログや設定情報を完全に消去し、第三者に流出しないようにする。
- 安全なリプレース計画
- EOLを迎える機器は計画的に入れ替え、互換性とセキュリティが確認された製品を導入する。古い機器をネットワークに残さない。
8. おわりに – IoTセキュリティは社会全体の課題
IoTの普及により、サイバー空間とフィジカル空間が密接に結びつくSociety 5.0が実現しつつある。しかしながら、未設定のパスワードや古いファームウェアといった基本的なセキュリティ不備が依然として多く、攻撃者にとって格好の踏み台となっている。NOTICEプロジェクトの大規模な観測やIIJによる継続的なレポートが示すように、IoT機器の安全性向上には官民連携とユーザーの意識向上が不可欠である。DDoS攻撃やボットネットの規模はさらに拡大しており、ORBネットワークのような複雑な構造も登場している。
セキュア・バイ・デザインの思想に基づき、開発段階からセキュリティを組み込むこと、ユーザーが機器のサポート状況や脆弱性情報を確認し、定期的な更新とアクセス制御を実施すること、そしてEOL製品の代替を計画的に進めることが、IoT時代の安全な社会基盤を築くための鍵となる。これらの取り組みを通じて、私たちは便利で豊かなデジタル社会と強固なセキュリティの両立を目指すことができる。
