警察が不正な通信の出所を追跡した結果、ある一般家庭のルーターがサイバー攻撃の中継地点として悪用されていたことが判明した。この家庭の住人は、自分が犯罪に加担していることに全く気づいていなかった。金銭目的の犯罪から国家ぐるみのスパイ活動に至るまで、その足場の一端は、持ち主が何も知らない一般家庭の機器によって支えられている。自分の家の機器が含まれていない保証はどこにもない。
自宅の脆弱性が会社のリスクに直結する時代
この問題は個人の話で完結しない。働き方が変わり、自宅から会社のシステムに接続することが当たり前になった。自宅のルーターが乗っ取られたからといって即座に会社へ侵入されるわけではないが、私物の端末を業務に使用していたり、弱い認証や古い機器が重なれば、自宅の弱さがそのまま会社のリスクになりうる。守りの堅い会社の正面よりも、手薄な社員の自宅から手がかりを探る方が容易であり、社員の自宅環境はもはや「私的な領域だから関知しない」では済まされない。
今すぐできる具体的な対策
やるべきことは、どれも特別な知識を必要としない。前述の弱点の裏返しとして考えれば、対策の方向性は見えてくる。まず、自宅にどのような機器がネットに接続されているかを一度書き出してみてほしい。使用していないものはネットから外す。何年も使い続けているルーターやカメラがあれば、メーカーのサポートがまだ続いているか確認したい。サポートが終了した機器は、欠陥が見つかっても修正プログラムが提供されないため、買い替えを検討する時期だ。
弱いパスワードや放置された欠陥は主要な侵入口となる。現役の機器はアップデートして最新の状態に保ち、パスワードが設定されていなかったり初期設定のままならすぐに変更する。外部から操作できる「リモート管理」機能は、必要がなければ無効にしておくべきだ。
安価な海外製品に潜む危険
注意すべきは使い方だけではない。安価な海外製のテレビ用小型端末(セットトップボックス)やプロジェクターに出荷時点でマルウェアが仕込まれていた事例が繰り返し報告されており、箱を開けてネットに接続した瞬間から犯罪用プロキシとして悪用される。初期設定時に求められるアプリを通じて感染するケースもある。これらの製品は国内の通販サイトで簡単に入手できる。出所の不明な製品に安さだけで飛びつかない姿勢も、身を守る上で欠かせない。
なお、安全なパスワードでの出荷やソフトウェア更新の確実な提供は、本来はメーカーが製品側で担保すべきものである。各国の政府機関がメーカーに「安全な状態で出荷すること」を求める動きも強まっている。日本でも、総務省と情報通信研究機構が「NOTICE」という取り組みで家庭の機器の安全性を調査する活動を行っている。
現実を知ることが第一歩
ネットに接続する機器は、今後ますます身の回りに増えていく。便利さの裏側で、その一台一台が知らぬ間に攻撃の道具に変えられうる。まずその現実を知っておくことが、知らぬ間に犯罪に加担しないための最初の一歩となる。
東洋経済Tech×サイバーセキュリティでは、サイバー攻撃、セキュリティの最新動向、事業継続を可能にするために必要な情報をお届けしている。
