どのような機器が攻撃を仕掛けてくるのでしょうか。

吉岡:特に多いのが「デジタルビデオレコーダー」。コンビニエンスストアなどに設置されている防犯カメラと録画機器をイメージして下さい。「ルーター」からの攻撃も多く観測しています。中にはMRI(磁気共鳴画像装置)や太陽光発電パネルの制御システムが乗っ取られ、攻撃を仕掛けてくるケースもあります。全世界で見れば500機種以上のIoT機器がマルウエアに感染しているでしょう。

 種類だけでなく件数も増えています。横浜国大のハニーポットへの攻撃は2016年4月ごろから急増し、今では1カ月に100万IPアドレスからアタックされています。

 攻撃のほとんどは海外発です。およそ2割が中国で、最近はベトナムやブラジルなど、脆弱なIoT機器が多く出回っている国が発信源になっています。日本国内の感染台数は、海外と比べると非常に少ないと言えるでしょう。

30年前の「Telnet」規約が感染の元凶

なぜIoT機器が乗っ取られてしまうのでしょうか。

吉岡:最大の原因は「Telnet」という通信規約にあります。遠隔地にあるサーバーなどにログインして操作するための決まりで、1983年に規定されました。Telnetは数十年前の規約なので、セキュリティーを考慮していません。サーバーなどにログインする際、IDとパスワードを暗号化せずに「平文」で通信するため、簡単に傍受できるのです。

 セキュリティーの観点から、今では多くのサーバーがTelnetでの遠隔ログインを受け付けていません。ところが、デジタルビデオレコーダーやウェブカメラの多くがTelnetを使っています。ソフト開発が簡単にできるから、というのが理由のようです。

 限られた開発チームのメンバーが使っているだけなら問題ありません。「root」や「12345」など、簡単なパスワードを設定することもあるでしょう。問題は、そうした設定のまま多くの製品が市場に出荷されていることです。しかも、購入した企業や消費者はIDやパスワードを変更せずに使っているケースが多い。

 グーグルなどで検索すると、機種ごとの初期設定IDとパスワードが容易に調べられます。スキルを持ったハッカーでなくてもパスワードを入手して、IoT機器にログインできるのが実情です。