警察が不正な通信の出どころをたどっていくと、自宅のルーターがサイバー攻撃の中継地点になっていた――。そんなケースが増えている。パソコンであればウイルス対策ソフトも導入でき、OSは自動で更新され、毎日電源を入れ直す機会もある。日常的に触れる機器だからこそ、守る手段も、おかしさに気づくきっかけも持ちやすい。しかし、IoT機器ではこうした保護手段が乏しい機種が多く、攻撃者にとっては安定した攻撃インフラに仕立てやすい格好の「盲点」となっている。
IoT機器の脆弱性:4つの弱点
弱点を整理すると、おおむね次の4つに集約される。
- 画面がなくセキュリティ対策ソフトも入れにくい。異変に気づく手がかりがそもそも乏しい。
- 基本ソフト(ファームウェア)の更新が自動で行われない機種が多く、欠陥が放置されやすい。サポートが終わった古い機器には更新自体が届かない。
- 24時間電源が入り、常にインターネットに接続されていて、攻撃者にとっていつでも手が届く状態にある。
- 利用者が中の設定を確認する機会がほとんどなく、異変にも長期間気づかない。
攻撃者はインターネットを機械的にスキャンし、こうした弱点を抱えた機器を探し出す。ユーザーの操作は必要なく、探索も侵入も自動で進む。自己拡散するタイプのマルウェアでは、乗っ取られた機器が次の標的を自ら探しに行き、被害はねずみ算式に広がる。
乗っ取られた機器は何に使われるのか
では、乗っ取った機器を攻撃者はどう使うのか。最も多いのが、大量の機器を一斉に操って特定のサイトやサービスへ膨大な通信を発生させ、つながりにくい状態に追い込む攻撃だ。何百万台が同時に押し寄せれば、標的のサービスは止まる。
2026年3月には、アメリカ・ドイツ・カナダの捜査機関が連携してこうした攻撃網を摘発した。感染していた機器は300万台を超え、その大半は録画機やカメラ、ルーターなどのIoT機器だったという。
もう1つ深刻なのが、乗っ取った家庭の回線を経由して通信する「権利」を、別の攻撃者に売り渡す手口である。「レジデンシャルプロキシ(住宅用プロキシ)」と呼ばれ、犯罪インフラとして定着しつつある。国内では、この仕組みがインターネットバンキングの不正送金に悪用されるケースも多くみられる。
学校に設置されたエアコンの制御端末や、店頭でよく見かける検温カメラが踏み台にされた事例もあり、知らぬ間に犯罪に関与してしまうリスクはすぐそばにある。冒頭の男性のルーターも、その1台だった。
国家の影と対策
悪用の裏には、国家の影も見え隠れする。2026年4月には、英国のサイバーセキュリティ機関が日本やアメリカを含む各国の機関と連名で、このレジデンシャルプロキシの手口への警告を出した。中国を背景とする集団が、各国の家庭用ルーターやカメラを乗っ取り、正体を隠す通信網に仕立てているという。
では、何をすればいいのか。専門家は、IoT機器の購入時にセキュリティ更新の有無を確認し、使用しない機器はネットから切断すること、ルーターの管理画面にデフォルトのパスワードを使わず、定期的にファームウェアを更新することを推奨している。また、不審な通信がないか確認するために、ルーターのログを時折チェックする習慣も有効だ。
