IoT機器に潜むセキュリティの脅威とは?被害事例から学ぶ対策法

2026.01.06 更新

IoT機器は私たちの暮らしやビジネスに欠かせない存在になりました。家庭のスマート家電から、オフィスの複合機、工場の産業用センサーまで、あらゆる場所で活用されています。その便利さの裏側で、サイバー攻撃者による標的化が進んでいることをご存知でしょうか。このコラムでは、IoT機器が抱えるセキュリティの課題と、今すぐできる対策について説明します。

IoTとIoT機器の基礎知識

まず用語を整理しましょう。IoTは「Internet of Things」の略称で、総務省の定義によれば「自動車、家電、ロボット、施設などあらゆるモノがインターネットにつながり、情報のやり取りをすることで、モノのデータ化やそれに基づく自動化等が進展し、新たな付加価値を生み出すこと」を指します。一方、IoT機器はIHS Technologyの定義では「固有のIPアドレスを持ちインターネットに接続が可能な機器及びセンサーネットワークの末端として使われる端末」とされています。
簡単に言えば、IoTは「モノとインターネットがつながる仕組み全体」を表す概念で、IoT機器はその中で現実世界とデジタル世界をつなぐ役割を担う装置です。IoT機器が収集した情報を分析して新しい価値を生み出したり、逆にネットワークを通じて現実世界に働きかけたりすることが、IoTが実現する世界です。

（※1　総務省　情報通信白書2018 用語解説より引用
※2　IHS Technologyの定義）

なぜIoT機器は攻撃対象になるのか

国立研究開発法人情報通信研究機構（NICT）のNICTERプロジェクトによる観測データでは、2023年に確認されたサイバー攻撃のうち約30%がIoT機器を標的にしたものでした。なぜこれほどまでにIoT機器が狙われるのでしょうか。その背景にある要因を見ていきます。

（参考　NICT　NICTER report2023）

セキュリティへの意識不足

PCと比較すると、IoT機器が攻撃を受けるという認識はまだ十分に浸透していません。その結果、初期設定のパスワードをそのまま使い続けていたり、誰でもアクセスできる状態で放置されているケースが少なくありません。ある調査によれば、IoT機器の約30%が初期パスワードのまま運用されているという報告もあります。

長期使用による脆弱性の蓄積

IoT機器は、一般的に長期間使われる傾向があります。PCやスマートフォンは3～5年程度で更新されることが多く、新機種に交換することで古い脆弱性からも解放されます。しかし、家電や産業設備は10年以上使われることも珍しくなく、その分だけ発見される脆弱性も増えていきます。

アップデートの見落とし

PCやスマートフォンは日常的に利用するため、アップデート通知に気づきやすいでしょう。一方、防犯カメラなどのIoT機器では、一度設置すると管理画面を開く機会が減り、脆弱性に対応したアップデートがリリースされても見過ごしてしまうリスクがあります。

部品レベルでの脆弱性

脆弱性はソフトウェアだけの問題ではありません。IoT機器に搭載されているチップセットなどのハードウェア部品にも脆弱性が見つかることがあります。このリスクはPCやスマートフォンでも同じですが、IoT機器は買い替えサイクルが長いため、影響を受ける期間も長くなります。

物理的なアクセスの容易さ

IoT機器が設置される場所は、必ずしも物理的に保護された環境とは限りません。屋外に設置される防犯カメラなどは、誰でも触れられる状態にあることがあります。実際、海外では防犯カメラを経由して企業の内部システムに侵入された事例も報告されています。ネットワーク経由での侵入よりも、セキュリティ対策が手薄なIoT機器に物理的に接続して攻撃する方が簡単なケースも多く、今後さらなる標的となる可能性があります。

IoT機器への攻撃で起こること

IoT機器が攻撃された場合、どのような事態が発生するのでしょうか。実際に起こりうる被害について解説します。

業務の停止

PCやサーバーへの攻撃と同様、IoT機器が使えなくなることで業務に支障が出ます。PCやサーバーなら代替機やバックアップが用意されていることもありますが、IoT機器では予備がない場合が多く、業務への影響が長引く可能性があります。

盗聴・盗撮の被害

IoT機器が不正にアクセスされると、内蔵されたマイクやカメラから音声や映像が盗まれる危険があります。さらに、盗まれた情報から人のいない時間帯や防犯カメラの死角が把握され、建物侵入などの別の犯罪に悪用される恐れもあります。

DDoS攻撃の踏み台化

IoT機器への攻撃による被害で最も多いのがDDoS攻撃への悪用です。DDoS攻撃とは、ウェブサイトやサーバーに大量のデータを送りつけて負荷をかけ、サービスを停止または遅延させる手法です。マルウェアに感染したIoT機器は攻撃者に遠隔操作され、標的となるサイトやサーバーへ攻撃データを送信する道具として使われてしまいます。

現実世界への直接的影響

PCやサーバーへの攻撃では、被害は主にデジタル空間にとどまり、業務停止といった間接的な影響が中心でした。しかし、IoT機器の場合は現実世界への影響がより深刻になる可能性があります。たとえば、2021年に米国フロリダ州の浄水場で発生した事件では、攻撃者が浄水システムに侵入し、水道水に投入する薬品の量を危険なレベルまで増やそうとしました。職員が異常に気づいたため被害は防げましたが、IoT機器への攻撃が人命に関わる事態を引き起こす可能性を示す事例です。

具体的なIoT機器への攻撃事例

実際に世界で発生したIoT機器を標的とした攻撃事例をご紹介します。

Miraiによる大規模DDoS攻撃（2016年）

2016年、IoT機器に感染するマルウェア「Mirai」が、米国のDNSプロバイダーやフランスのホスティング事業者に大規模なDDoS攻撃を仕掛けました。約14万台以上のIoT機器が乗っ取られ、ピーク時には毎秒1Tbpsを超える過去最大級のトラフィックが観測されました。この攻撃により、Twitter、Netflix、PayPalなど多数の著名サービスが一時利用不能となり、大きな混乱を引き起こしました。

医療機器への攻撃

米国ボストンの医療機関では、胎児モニタ装置がマルウェアに感染する事例が発生しました。患者への直接的な被害はなかったものの、装置の動作が遅くなる事象が確認されました。医療機器への攻撃は誤作動を引き起こし、人命に関わる重大事態につながる危険性を含んでいます。

自動車の遠隔操作実証

セキュリティ研究者による実証実験では、特定の自動車モデルの脆弱性を突いて、エンジンやブレーキを遠隔から操作できることが判明しました。この発見を受けて、自動車メーカーは約140万台のリコールを発表するという事態に発展しました。

効果的なIoT セキュリティ対策

ここまでIoT機器のリスクについて説明してきました。この章では、すぐに実践できるセキュリティ対策について解説します。

設定の見直しと強化

前述の通り、初期パスワードのままや外部からアクセス可能な状態で運用されているIoT機器が多く存在します。セキュリティ対策の第一歩として、現在使用している機器の設定を確認しましょう。パスワードは推測されにくい強固なものに変更し、不要な外部接続は無効化することが重要です。

物理的なアクセス制限

IoT機器は物理的な侵入リスクが高いという特性があります。第三者が容易に機器に接続できないよう対策を講じる必要があります。具体的には、機器の筐体に施錠したり、USBなどの外部接続ポートを物理的に塞いだりする方法があります。

セキュリティ製品の導入

セキュリティ対策製品の活用も有効な手段です。IoT機器には組み込み用OSが使われることが多く、PC向けのウイルス対策ソフトを直接インストールすることは困難です。しかし、IoT機器が接続されているネットワークの通信を監視する対策（UTM製品など）は効果があります。

また、IoT専用のセキュリティ製品も登場しており、機器に取り付けて通信を監視するタイプや、通信の暗号化を行うタイプなどがあります。これらを活用することで、より強固な保護が実現できます。

定期的なファームウェア更新

メーカーから提供されるファームウェア更新は、発見された脆弱性への対応が含まれています。定期的に機器の管理画面を確認し、最新版へのアップデートを実施することが重要です。可能であれば、自動更新機能を有効にしておくと良いでしょう。

IoT セキュリティに関するQ&A

Q1. IoT機器が攻撃されているかどうか、どうやって確認できますか？

A. 機器の動作が異常に遅くなったり、予期しない通信が発生したりしている場合は要注意です。ネットワーク監視ツールで通信量を確認する、機器のログを定期的にチェックするといった方法があります。異常を検知したら、すぐにネットワークから切り離し、専門家に相談することをお勧めします。

Q2. すでに導入済みのIoT機器のセキュリティを高めるには何から始めればいいですか？

A. まず、導入されているすべてのIoT機器のリストを作成し、それぞれの設定状況を確認しましょう。初期パスワードを変更する、最新のファームウェアを適用する、不要な機能を無効化する、という基本的な対策から始めることが大切です。

Q3. 家庭で使用するスマート家電もセキュリティ対策が必要ですか？

A. はい、必要です。家庭用のIoT機器も企業で使用される機器と同様にインターネットに接続されており、攻撃の対象になり得ます。特にネットワークカメラやスマートロックなど、プライバシーや安全に直結する機器は優先的に対策を講じるべきです。

Q4. IoTセキュリティガイドラインとは何ですか？

A. 経済産業省と総務省が共同で策定した「IoTセキュリティガイドライン」は、IoT機器やシステムの供給者・利用者が取り組むべきセキュリティ対策の指針を示したものです。企業の経営層から現場担当者まで、それぞれの立場で実施すべき対策が記載されています。

Q5. 中小企業でもIoTセキュリティ対策は必要ですか？

A. 企業規模に関わらず必要です。むしろ中小企業の方がセキュリティ対策のリソースが限られているため、基本的な対策を確実に実施することが重要です。まずは現状の把握から始め、優先度の高い対策を段階的に進めていくことをお勧めします。

まとめ

IoT機器のセキュリティリスクと対策についてご紹介しました。IoT機器は今後もさまざまな分野で活用が広がることが見込まれ、それに伴いセキュリティリスクも増大すると予想されます。IoT機器もサイバー攻撃の標的になるという認識を持ち、適切なセキュリティ対策を着実に実施していきましょう。

ALSOKのおすすめ情報セキュリティサービス

最新の脅威情報に基づき、Webサイトへの不正なアクセスを即座に検知しブロック。クラウド型なので導入も簡単
【ALSOK WAFサービス】

PC・モバイル端末管理をクラウドで実現。負担となる「導入」から「運用・報告」までサポート。
【ALSOK IT資産管理】

ネットワーク内の情報資産や顧客情報を、外部脅威から守る
【ALSOK UTM運用サービス】