あらゆるモノがインターネットとつながるIoT社会の脆弱性とは(イメージ:写真AC)

IoT社会を支えるデバイスに潜む脆弱性

前回までに紹介した顔認証システムであるが、これだけ便利なのだから手放しで拡大してよいかというと、留意しなければならない点が多々ある。第一は個人情報保護だろう。顔画像は個人情報として、本人の許諾の範囲での取得と利活用に限定する必要がある。この点は他の個人情報管理とともに後に詳述する。

それ以外で最も注意しなければならないのは、一般にはあまり知られていないかもしれないが、デバイスのセキュリティに関する問題である。これはIoT(Internet of Things)の世界で、あらゆるモノがネットワークにつながることで生じる。

最近の家電製品の多くはインターネットに接続され、遠隔で監視や操作などができて便利である。昔ユビキタスと呼ばれたデジタルネットワーク社会が確実に進展しているのだ。

IoT社会になることで、あらゆるモノがサイバー攻撃の脅威にさらされている(イメージ:写真AC)

ただ、パソコンやスマートフォンがネットワークに接続されることで、コンピュータウイルスなどサイバー攻撃の脅威にさらされ、防御策が必要になっていることは今や常識だろう。そしてIoTの世界になることで、ネットワークに接続するあらゆるモノが同様の脅威にさらされていることを知らなければならない。

顔認証を支えるデバイスである監視カメラも同様だ。オフラインのものもあるが、ネットワーク接続機種が多く、デバイス自体にシステムが搭載されているので、パソコンと同様の脆弱性対策が必要になる。

もう数年前になるが、世界的にシェアの高かった監視カメラの内部の制御システム(組込みシステムという)に脆弱性が発見され、対策が急がれたことが現実にあった。同様の脆弱性は、ネットワークに接続する複合機にも指摘されたことがある。これらは外部からある命令をネットワーク経由で送ると、監視カメラや複合機に保存されたデータが外部に配信されるような仕組みである。当時、その対象機種のバージョンを新しいものに更新する対応が必要になった。

監視カメラや複合機などのIoTデバイスは、パソコンのような定期的バージョンアップが難しい(イメージ:写真AC)

この種の脆弱性はデバイスが導入された時に発見されることは少なく、導入後にさまざまな攻撃に晒されて発見されることが多い。パソコンであればウイルスパターンの更新を定期的に行い、ソフトのバージョンアップも定期的に行うことでリスク低減されるが、他のネットワークに接続されるデバイスでは同様の対策は困難だ。

理由は簡単である。パソコンの場合は個体数が多く、一つの対策が多くのモノに影響を及ぼすので費用対効果が得られる。しかし、個体数が比較的少なく、システムの標準化もパソコンほどではないネットワーク接続デバイスにおいては個々の対策に労力をかけることが難しく、そう簡単ではないのである。

一方、攻撃を仕掛ける側の労力としては、実はそれほど変わらない。もちろん攻撃成果は対象が多いほど可能性は広がるのだが、脆弱性を突いた攻撃を仕掛けることは同じと考えてよいだろう。そして悪意を持ったバックドアなどを仕掛られても、検出することは容易ではない。