日本企業が知るべきIoTセキュリティリスクと対策
近年、企業や店舗で導入が進んでいる監視カメラ(IPカメラ)やLEDデジタルサイネージ。
防犯対策や広告・情報発信として便利な一方で、IoT機器のセキュリティリスクが問題になっています。
実際に世界中では、IoT機器がハッキングされ、
- 監視カメラの映像が盗み見される
- デジタルサイネージの画面が改ざんされる
- 企業ネットワークへの侵入口になる
といった事件が発生しています。
この記事では、ITサポート現場の経験をもとに、
- 監視カメラのハッキングリスク
- LEDサイネージのセキュリティ問題
- 日本企業でよくあるIoTの弱点
- 今すぐできる対策
をわかりやすく解説します。
IoT機器とは?企業ネットワークの新しいリスク
IoT(Internet of Things)とは、インターネットに接続された機器の総称です。
企業や店舗では、次のような機器がIoTとして利用されています。
- 監視カメラ(IPカメラ)
- LEDデジタルサイネージ
- ネットワークプリンター
- NAS(ネットワークストレージ)
- センサー機器
- スマートロック
これらの機器は便利ですが、PCほどセキュリティ管理がされていないケースが多く、攻撃対象になりやすい特徴があります。
監視カメラ(IPカメラ)のハッキングリスク
監視カメラはIoT機器の中でも、特に攻撃対象になりやすい機器です。
過去には Mirai Botnet と呼ばれるマルウェアが、世界中のIPカメラやルーターを感染させ、大規模なサイバー攻撃に利用された事件がありました。
この事件では、IoT機器がボットネット化され、大量の通信を送りつける攻撃が行われました。
よくある侵入原因
初期パスワード未変更
多くのIPカメラには、次のような初期設定があります。
ID:admin
PW:admin
これを変更せずに使用すると、不正アクセスのリスクが高くなります。
インターネット公開
遠隔監視のためにルーターのポートを開放すると、
インターネットから直接カメラへアクセスできる状態になる場合があります。
ファームウェア未更新
IoT機器は更新されないまま長期間使われることが多く、
既知の脆弱性を狙われることがあります。
LEDデジタルサイネージのハッキング
LEDサイネージは、店舗・駅・商業施設などで使われる広告・情報表示システムです。
多くの場合、以下のような構成になっています。
↓
管理PC
↓
社内ネットワーク
この場合、管理PCが侵入されると
表示内容改ざん
不正広告表示
不適切動画表示
などが起こる可能性があります。
海外では、広告ビルボードがハッキングされ、不適切な映像が表示される事件も報告されています。
サイネージが企業ネットワーク侵入の入口になる
IT保守の現場では、サイネージ機器が社内ネットワーク侵入の入口になるケースもあります。
↓
管理PC
↓
社内LAN
↓
ファイルサーバー
もし管理PCがマルウェア感染すると、企業内部に攻撃が広がる可能性があります。
IT保守現場でよくあるIoTセキュリティ問題
実際のオンサイト保守では、次のような問題がよく見られます。
古いOSの管理PC
サイネージ管理PCが
- Windows7
- 更新されていないWindows10
というケース。
USB更新によるウイルス感染
サイネージはUSBで動画更新する場合があります。
この場合、USB経由でマルウェア感染することがあります。
ネットワーク分離がされていない
多くの企業ではPC、サーバー、IoT機器が同じネットワークに接続されています。
これはセキュリティ上のリスクになります。
企業が行うべきIoTセキュリティ対策
監視カメラやサイネージを安全に運用するためには、次の対策が重要です。
パスワード変更
初期パスワードを必ず変更する。
ファームウェア更新
機器メーカーの更新を定期的に確認。
ネットワーク分離
IoT機器は可能であれば専用ネットワークに分離。
VPN利用
遠隔アクセスはポート開放ではなくVPNを使用。
まとめ
IoT機器は便利ですが、適切なセキュリティ対策を行わないと企業ネットワークの弱点になります。
特に注意すべき機器は次の通りです。
- 監視カメラ
- デジタルサイネージ
- ルーター
- NAS
PCだけでなく、IoT機器を含めたネットワーク全体のセキュリティ対策が重要です。
ITトラブル・セキュリティ相談
監視カメラやデジタルサイネージを含めたネットワークトラブルやセキュリティ対策についてお困りの場合は、ジャパンエイドPC救急隊へお問い合わせください。