Security NEWS TOPに戻る
バックナンバー TOPに戻る
IoTの普及は企業活動を大きく変革する一方で、新たなセキュリティリスクを急速に拡大させています。スマートカメラや複合機といった身近な機器が攻撃の標的となり、情報漏洩や業務停止といった深刻な被害につながる事例も増加中です。本記事では、IoTセキュリティ特有の脅威や実際の被害事例を取り上げ、そのリスクを正しく理解することで、経営層やIT担当者が取るべき対策の必要性を明らかにします。
contents
IoTセキュリティの特殊性
PCやサーバであればOSベンダーが月例パッチを配布し、管理者もGUIで容易に適用できます。ところが、IoTデバイスは制御用の軽量OSを採用しており、そもそも自動更新機能が実装されていない機種が少なくありません。屋外や高所に長期設置される機器の場合、物理的にアクセスしてUSB経由でアップデートする手間が大きく、結果として脆弱性が放置される確率が跳ね上がります。NIST SP 800-213は「設置場所と更新手段の乖離がIoT固有のリスクを増幅させる」と分析しています。
攻撃者がIoT機器を狙う3つの合理性
まず第1に台数の多さです。SonicWall社が公開している「2023 SonicWall Cyber Threat Report」によると、「世界のマルウェア感染端末の40%以上がIoT由来である」と指摘されています。第2に防御の甘さが挙げられます。JPCERT/CCが2024年に国内8,000台を調査*1したところ、Telnetや SSHのデフォルト認証情報がそのままのIoTデバイスが12%存在しました。第3は“隠密性”です。プリンタや監視カメラがマルウェアのC&C通信に使われても、ユーザは映像も印刷も通常どおり動くため気づきにくいという状況があります。
代表的な被害事例
2016年のMiraiボットネットはコンシューマー向けルーターとネットワークカメラに感染し、最大620GbpsのDDoSトラフィックを発生させ、米DNSプロバイダーDynを一時機能停止に追い込みました。2021年3月に表面化した Verkada社のスマートカメラ大量侵入事件では、管理者アカウント情報がGitHubに誤って公開され、テスラ工場や病院を含む15万台超の映像が外部から閲覧可能となりました。直近ではRapid7が2024年12月に公表したBrother製複合機の脆弱性(CVE-2024-22475ほか)も、認証バイパスによる遠隔コード実行が可能だったため、印刷ジョブを改ざんできるリスクが指摘されました*2
主要IoTセキュリティ事件年表(2016-2025年)
| 年 | 事件概要 | 影響・被害 |
|---|---|---|
| 2016 | Miraiボットネットが家庭用ルーターやネットワークカメラを大量感染させ、620Gbps超のDDoS攻撃で米DNS大手Dynを一時停止*3 | 大規模サービス停止・インターネット障害 |
| 2017 | 国内外で小規模監視カメラへの不正ログインが相次ぎ、ライブ映像がストリーミングサイトに無断公開*4 | プライバシー侵害・二次被害拡大 |
| 2018 | スマート冷蔵庫を含む家電の脆弱性が複数報告され、メーカーが初のOTAアップデートを緊急配布*5 | 家電乗っ取りリスク・アップデート体制の課題顕在化 |
| 2019 | スマートロックなど家庭IoT機器でデフォルト認証情報が放置され、遠隔でドア解錠される事例が報道*6 | 個人宅への侵入・安全確保への不安 |
| 2020 | 新型Mirai派生マルウェアが出現、IoT機器を踏み台にしたDDoS攻撃件数が前年比2倍に*7 | ネットサービス障害・帯域逼迫 |
| 2021 | Verkada社クラウド連携カメラの管理認証情報が流出し、15万台超の映像が外部閲覧可能に*8 | 大規模映像漏洩・企業ブランド毀損 |
| 2022 | 国内調査で初期パスワードのまま運用されるIoTデバイスが12%見つかり、ボット化被害が多発 | ネットワーク踏み台化・社内横展開 |
| 2023 | 複数メーカーのスマート照明とセンサーでAPI認証不備が発覚し、遠隔操作や情報流出の恐れ*9 | 遠隔操作リスク・業務影響 |
| 2024 | Brother製複合機に遠隔コード実行脆弱性(CVE-2024-22475など)が公表、修正ファーム未適用機が残存*10 | 印刷ジョブ改ざん・情報漏えい |
| 2025 | ランサムウェアが産業用IoT機器を暗号化し、生産ラインを停止させる事例が欧州で初報告*11 | 業務停止・身代金要求 |
※上記事例ソースはすべて一次ソース/一次レポートへの直接リンクもしくは、当該数値・事件を初報として扱った公式発表・専門調査記事です。
放置すると何が起こるのか
攻撃によってネットワーク経由で制御を奪われた生産ラインは、最悪の場合でシャットダウンや誤動作を招きます。IPAの試算では、主要部品メーカーが72時間停止した際のサプライチェーン損失は300億円規模に及ぶとされています。さらに監視カメラ映像の流出は顧客や従業員のプライバシー侵害となり、個人情報保護法やGDPRの制裁金が発生する可能性も否定できません。攻撃が社会的信用の喪失に直結する点で、IoTセキュリティは経営課題と捉える必要があります。
国際・国内動向が示す「対策の必然性」
ETSI EN 303 645(欧州電気通信標準化機構)は「サイバーセキュリティを前提にIoTを設計せよ」という“セキュリティ・バイ・デザイン”指針を2020年に発効しました。日本でも総務省が2022年に『IoT セキュリティアクション』を改定し、企業規模を問わず「現状把握・リスク分析・対策実装・監視運用」というPDCAを回すことを推奨しています。こうした規制・ガイドラインは今後さらに強化されると見込まれ、早期に準拠体制を整えた企業ほど市場競争力を高める構図になりつつあります。
―第3回へ続く―
【連載一覧】
―第1回「今さら聞けないIoTとは?─IoTデバイスの仕組みと活用例で学ぶ基礎知識」―
―第2回「身近に潜むIoTセキュリティの脅威とは?─リスクと被害事例から学ぶ必要性」―
―第3回「企業が取り組むべき IoT セキュリティ対策とは?─実践例に学ぶ安全確保のポイント」―
Security NEWS TOPに戻る
バックナンバー TOPに戻る
ウェビナー開催のお知らせ
「フィッシング攻撃の最新脅威と被害事例〜企業を守る多層防御策〜」
「サイバーリスクから企業を守る ─脆弱性診断サービスの比較ポイントとサイバー保険の活用法─」
最新情報はこちら
