自宅に警察が訪れる——身に覚えのない犯罪の容疑をかけられる。このような出来事は過去にも発生しており、2012年には遠隔操作ウイルスに感染したパソコンから無差別殺人予告や学校襲撃予告が送信され、無関係の4人が誤認逮捕される事件に発展した。当時、マルウェア解析で捜査に協力した三井物産セキュアディレクションのフェローで上級マルウェア解析技術者の吉川孝志氏は、強く記憶に残っていると語る。あの時はパソコンが標的だったが、現在はその構図がパソコンの外に広がっている。
家庭のルーターが乗っ取られる
先の男性の自宅で乗っ取られていたのは、インターネット接続に使う「ルーター」だった。マルウェアと聞けばパソコンやスマートフォンを思い浮かべる人が多いが、攻撃者の狙いはパソコンだけにとどまらない。家庭やオフィスの「ネットにつながる機器」そのものを乗っ取る攻撃がひそかに増加している。ルーター、防犯カメラ、録画機、テレビに接続する小型端末など、これらは「IoT(Internet of Things)」機器と呼ばれ、どの家庭にもいくつか存在する。
意外な機器が標的に
攻撃対象は意外なところにまで広がっている。海外では、カジノに設置された水槽のスマート温度計がハッキングされ、それを足がかりに顧客データが盗まれた事例がある。大学のキャンパスでは、感染した自動販売機やスマート電球が大量の通信を発生させ、学内のインターネットを麻痺させた。また、冷蔵庫がスパムメールの発信源になっていたと一部のセキュリティベンダーから報告された例もある。IoT機器が踏み台や侵入口にされた事例は多岐にわたる。
防犯カメラの映像が丸見え
被害は機器の乗っ取りだけにとどまらない。防犯カメラや見守りカメラの映像がインターネットから覗かれる問題は何年も前から繰り返し報告されており、現在も多数のカメラが丸見えのまま放置されているとみられる。2025年のある調査では、外部からアクセスできる状態のカメラが国内だけで数千台見つかった。保育園で園児が着替える姿や、自宅のリビングの映像まで含まれていたケースも報じられている。原因はパスワード未設定や公開設定の誤りなど、いずれも入り口が開けっ放しだったことにある。こうした脆弱な機器は、映像を見られるだけでなく攻撃の踏み台にもされうる。
なぜIoT機器が狙われるのか
IoT機器が狙われる背景には複数の事情が重なっている。パソコンやスマートフォンのセキュリティはこの十数年で格段に強化された。一方で、ネットワーク環境は家庭の隅々にまで行き渡り、インターネットにつながる機器の数そのものが爆発的に増えた。攻撃者の目には、守りが手薄なまま大量に放置された機器の群れが映っている。吉川氏は、このような状況が攻撃の温床になっていると指摘する。
乗っ取られた機器の悪用方法
乗っ取られたIoT機器は、DDoS攻撃の中継地点やスパムメールの送信元、さらには他の機器への侵入口として悪用される。攻撃者は乗っ取った機器を遠隔操作し、犯罪の踏み台にする。利用者が気付かないまま、自宅の機器が犯罪に加担しているケースも少なくない。機器の異常な動作や通信量の増加に気付いたら、すぐにセキュリティチェックを行う必要がある。
対策と今後の展望
IoT機器のセキュリティ対策として、初期パスワードの変更、ファームウェアの更新、不要な機能の無効化が基本となる。また、ネットワークをセグメント化し、IoT機器を重要なデータから分離することも有効だ。吉川氏は、機器メーカー側のセキュリティ設計の重要性も強調する。今後、IoT機器のさらなる普及に伴い、攻撃のリスクは高まる一方である。利用者一人ひとりがセキュリティ意識を持ち、適切な対策を講じることが求められる。
