しかし、サイバー空間では「便利」であることは「危険」であることと引き換えです。
なんでもできる我々の便利なパソコンは、インターネットと繋がることによって不正プログラムと遭遇し、遠隔操作されたりして、最終的に我々に個人情報漏えいの被害や金銭的な被害を与える手段になってしまう、という事例が何年も前から日常茶飯事的に起こっています。
IoTの世界でも同様に、様々な危険事例が既に起こっています。
事例1:IoT機器が不正行為の踏み台として悪用される被害
2004年のハードディスクレコーダの事例や2014年のスマートテレビや冷蔵庫の事例など、HTTPプロキシ機能やメール送信機能が搭載されているネット家電がインターネットから直接アクセス可能な状態で運用されることにより、結果的に攻撃者の踏み台にされる様々な事例が報告されています。
機能の使用のために必要なパスワード認証が設定されていない、またはデフォルト設定のまま運用されていることが悪用の要因となっています。機器が悪用されることにより結果的に不正活動に加担することになると同時に、踏み台にされたIoT機器が負荷により一時的に使用不可になったりすることも利用者側の被害としてあげられます。
事例2:Webカメラのハッキングによる盗撮や情報流出の被害
デフォルトの認証情報を変更しない、そもそも認証設定自体を行っていない、脆弱性をアップデートしていないなど、不適切な設定のままインターネットに接続されたWebカメラの映像が第三者に盗み見られてしまうことがあります。
2014年以降たびたび「ネットワークカメラ画像無断公開サイト」の存在が報道され話題に上っていますが、特に悪質な事例としてはハッキングされたカメラからの盗撮画像を元にした脅迫の事例や乳幼児の見守りのためのカメラがハッキングされ暴言が浴びせられた事例などがあります。
事例3:自動車が遠隔操作される危険性
各種機能実現のためにインターネット接続機能を持つ車は「コネクテッドカー」とも呼ばれます。そして、実際に市販されているコネクテッドカーに対する遠隔操作の実証実験が既に何度も行われています。
中でも2015年に行われた実証実験は最も大きく報道された例の1つですが、この実験の中では市街を走行中のコネクテッドカーにおいて、エアコンやラジオ、ワイパーなどの機能がインターネット経由で遠隔操作され、最終的にはアクセルが無効になり車は停止させられたと報告されています。また別の実証実験では遠隔操作のために必要なPINコード認証をブルートフォース(総当たり)攻撃で突破したという報告もあります。
事例4:IoT機器への不正プログラム感染
すべてのモノがコンピュータになるにあたっては、LinuxやAndroidなど既存のOSが搭載される場合が多いようです。そして既存のOSが使用された場合、既存の不正プログラムの脅威も同時に引き継がれることになります。
このようなIoT機器への既存の不正プログラムによる被害として、2016年にはAndroidを搭載したスマートテレビボックスにバックドア型不正プログラムが感染した事例やランサムウェアが感染した事例が確認されています。今後はこのような既存の不正プログラムの被害が継続すると共に、特定のIoT機器を狙う不正プログラムも登場してくることでしょう。
事例5:家庭用ルータのハッキングによる設定変更
家庭用ルータは、インターネットと家庭内のIoT機器を安全に繋ぐための重要な存在です。ルータの配下にあるIoT機器はインターネット側から直接アクセスされることなく、インターネットを利用できます。サイバー犯罪者はそのルータの存在に注目しており、既に様々な攻撃が試みられています。
中でも「DNSチェンジャー」による被害は、既に大きな規模で発生しています。DNSチェンジャーは不正プログラムの一種であり、同一ネットワーク上のルータを探し出すと同時にパスワード認証を突破したり脆弱性を利用したりしてルータのDNS設定を変更します。ルータのDNS設定が変更されてしまうと、そのルータ経由でインターネットに接続しているすべての機器が正規URLにアクセスしているつもりで不正サイトへ誘導されてしまう危険性が生じます。
実際に発生したDNSチェンジャーの事例では不正サイトへの誘導により、最終的に偽セキュリティソフトやクリッカーなどの不正プログラムを感染させていたことがわかっています。その他にもフィッシングサイトへの誘導、正規サイトの広告表示の変更、任意の正規サイトにアクセスさせないことによる情報入手妨害、中間者攻撃による通信内容の盗み見などの危険性があります。