脆弱なIoT機器17万件超検知、保育施設カメラハッキング被害も発生

脆弱なIoT機器が17万件超検知、保育施設カメラのハッキング被害も明らかに

国立研究開発法人・情報通信研究機構（NICT）が実施した調査により、IDやパスワードが脆弱で不正アクセスのリスクが高いIoT機器の検知件数が、2025年に累計で17万件を超えたことが判明しました。この調査は国内のIoT機器を対象に毎月行われており、検知件数は年々増加傾向にあります。特に、保育施設に設置されたカメラがハッキングされ、内部映像が外部から閲覧可能になる被害が発生しており、セキュリティ対策の重要性が浮き彫りとなっています。

NOTICE調査の拡大と検知件数の推移

NICTは2019年4月から、IoT機器の脆弱性を調べる取り組み「NOTICE」を展開しています。調査では、国内のネットプロバイダー約100社から提供される計1億2000万件前後のIPアドレスを対象に、月1回の頻度で実施。容易に推測できるIDとパスワードの組み合わせ約600通りを自動入力し、アクセス可能性を確認しています。アクセスが可能な場合、プロバイダーを通じて所有者にメールや郵便で注意喚起を行っています。

2025年1月から12月までの調査では、脆弱な機器の検知件数は累計で17万4676件に上りました。調査開始当初の2019年は、参加プロバイダーが約25～40社、自動入力するID・パスワードが約100通りと限られていたため、累計4518件（4～12月）でしたが、参加プロバイダーの増加や調査範囲の拡大に伴い、検知件数は大幅に増加しています。検知された機器の内訳では、ルーターが約半数を占め、カメラは1割程度となっており、工場出荷時に共通パスワードが設定されていた旧型機が多いことが指摘されています。

—

具体的な被害事例とサイバー攻撃のリスク

脆弱なIoT機器が実際に悪用された事例として、文部科学省は2025年10月、国内の保育施設に設置されたカメラがハッキングされ、施設内の映像が外部から見られる状態になっていたことを公表しました。関係者によると、被害に遭ったカメラの映像には、園児や保育士とみられる人物が映っており、プライバシー侵害の深刻な事態が発生しています。

さらに、これらの脆弱な機器は、サイバー攻撃の一種であるDDoS（ディードス）攻撃に悪用される恐れもあります。2024年末から2025年初めにかけて、国内の航空会社や金融機関を標的としたDDoS攻撃では、世界各地の300超のIoT機器が乗っ取られ、データの送信拠点として利用されました。このように、IoT機器のセキュリティ脆弱性は、個人情報漏洩だけでなく、大規模なサイバー攻撃の温床となるリスクをはらんでいます。

セキュリティ強化への取り組みと対策の呼びかけ

NICTナショナルサイバーオブザベーションセンターの衛藤将史・研究センター長は、IoT機器の所有者に対して、IDやパスワードの確認と変更、ソフトウェアの最新版への更新を強く呼びかけています。特に、メーカーのサポートが終了した機器については、買い替えを検討するよう促しています。

国もこの状況を受け、安全性強化に本腰を入れています。経済産業省と独立行政法人・情報処理推進機構（IPA）は2025年3月、IoT機器のセキュリティ対策認証制度「JC-STAR」を開始しました。この制度では、対策レベルに応じて「★1～4」の4段階が設定されており、最低限の脅威に対応する「★1」では、推測可能な初期パスワードの設定禁止やソフトウェアの自動更新など、16項目の適合基準を満たす必要があります。これまでに約160製品に「★1」が付与されており、より安全性の高い「★2」以上の基準については、今後定められる予定です。