あなたの「ID・パスワード」は安全ですか?
2019年2月から、総務省所管の情報通信研究機構が、各家庭にあるIoTデバイスに対して、パスワードが初期設定のままになっていないかなど、セキュリティの脆弱性を確かめる全国調査を実施。
政府の個人情報保護委員会では、個人が企業に対して、個人情報(データ)の利用を停止できる権利「利用停止権」を検討しているとの報道も。
2020年に開催される東京五輪・パラリンピックで懸念されるサイバー攻撃、5GやIoTデバイスの進化と普及もあり、個人情報の漏洩や、それによる被害を防ぐ、サイバーセキュリティへの関心と重要性が高まっています。
では、私たちはどうすれば、サイバー攻撃から身を守ることができるのか。
セキュリティ対策について、サイバーセキュリティ・サービスを提供しているマカフィーのサイバー戦略室シニア・セキュリティ・アドバイザー、佐々木 弘志(ささき ひろし)さんに聞いてみました。
個人情報やプライバシーが「ダダ漏れ」している?
── IoTの普及で、さまざまなデバイスがインターネットとつながるようになりましたが、サイバー空間に暗躍する犯罪者たちが狙っている個人情報とは?
佐々木:これまでは、氏名や住所、メールアドレス、クレジットカード番号などが狙われていました。現在では、スマートスピーカーや監視カメラなどのIoTデバイスが家庭にも普及しているので、音声情報、画像や動画などのプライバシー情報もターゲットになっています。
特に、スマートスピーカーは、IDやパスワードを入力しなくても、話しかけるだけで反応してくれるので、毎回のログインが不要です。
たとえば、Googleアシスタントが組み込まれたスマートスピーカーに話しかけた内容、アクティビティはクラウド上に残っています。これは、Googleアシスタントの設定時に、Googleが取得する各種情報に関してユーザーが承認していることなので、記録すること自体は違法ではなく、逆に、会話の内容を学習して的確な回答をするので利便性が高まります。
一方で、スマートスピーカーが他人の音声に反応することが絶対にないとは言えず、外部からアクセスされる可能性もあり、リマインダーやカレンダーなどと連携していれば、スケジュールなども覗かれる心配があります。
極端に言えば、話しかけた内容を基に、行動パターンや興味や関心といった個人の嗜好まで、他人に漏れてしまう可能性があります。ですから、漏れてもよい情報、漏らしたくない情報は何かを分けて考え、使うことも対策の1つです。
Googleアシスタントの場合は、過去のアクティビティを確認・削除することができますが、便利なサービスの裏側には注意が必要なことを知っておきましょう。
また、自宅や店舗、企業に設置されている防犯カメラも注意が必要です。
ログイン・パスワードが初期設定のままにしているなど、無防備なカメラを探し出して映像を配信しているサイトがあります。
このサイトの是非はともかく、設定が難しい、面倒だからと、購入時のままの ユーザーID ・パスワードで使用すると簡単にアクセスされ、守るべきプライバシーが世界中に流されてしまう、悪用される危険性があります。
防犯カメラを使う際は、製品マニュアルなどに記載されているパスワードを初期設定のままにしないことをおすすめします。
また、防犯カメラだけでなく、パソコンやスマホのカメラも、マルウェアに感染すると覗かれてしまう場合があるので、外部からの侵入を守るセキュリティ対策が重要になります。
知らないうちに、サイバー犯罪者を手伝っている?
── 情報漏洩と同じく心配なのが、お金に関するサイバー犯罪。「〇〇ペイ」などキャッシュレス決済が広がりつつありますが、セキュリティのリスクも高まっているのでしょうか。
佐々木:IoTデバイス経由で個人情報が集積されているパソコンやスマホ、クラウドに侵入。IDやパスワードを盗んでお金を引き出すことが考えられます。これは、IoTデバイスが必要なときにアカウント情報やデータを取りに行く仕組みになっているので、そこが狙われるわけです。
前述の通り、カメラを含めたIoTデバイスそのもののセキュリティ対策はもちろんですが、被害を防ぐためには、まず、各種のサービスに登録する際に、メールアドレスやパスワードなど、 安易にほかのサービスと同じものを流用しないことです。
設定が簡単で、1つのIDやパスワードだけで複数のサービスにアクセスできるのは便利ですが、それだけリスクが高くなるわけです。
また、パスコードがSMSやメールで送られて、入力しないと次に進めない2段階認証、普段使わないデバイスからアクセスすると「〇〇からアクセスがありました」とアラートをメールなどに通知するなど、事業者側のセキュリティ・サポートもあるので、必ず利用しましょう。
しかし、最近のサイバー攻撃では、これまでとは異なる特徴があります。
それが「マイニング(採掘)」です。
マイニングとは、仮想通貨の取引で、取引データを承認する作業のこと。最初に作業を終えると報酬を得ることができます。しかし、この作業を行うには、大量の計算を行わなくて行けないので、データセンターのようなCPUパワーが必要です。
そこで、サイバー犯罪者は、IoTデバイスなどを経由して、皆さんのパソコンなどに侵入。「コインマイナー」と呼ばれる、マイニング作業を行う計算ツール(ウイルス)を設置して、CPUを借用。こっそりと手伝わせているんです。
パソコンなどに実害がなく気づきにくいので、サイバー犯罪者にとっては、バレずに稼げて続けやすい上に、利益を得るための効率が高いことから広がっているわけです。
こうした寄生虫のような攻撃を防ぐには、 セキュリティソフトなどでウイルス対策を行うことが大切です。
また、計算ツールを設置したサイトもあり、閲覧しているときだけマイニングを手伝わせるケースもあるので、使用しているブラウザのアドオンにある防御アプリの活用を考えてみましょう。
サイバー犯罪者とセキュリティ対策の戦いは、AI同士の攻防に?
── あの手この手でサイバー攻撃が行われていることがわかりました。では、今後のサイバー攻撃とどのように対峙していけばよいのでしょうか。
佐々木:最近、さまざまなサイトで、テキストチャットを設置して、質問や要望に瞬時に応えるサービスが増えてきました。これは、質問に対する回答などをAIが蓄積して学習しているわけですが、同様の仕組みを、サイバー犯罪者も行っています。
たとえば、セキュリティソフトが入っているデバイスは、簡単に侵入できないので、AIが別の入口を探し出して侵入するとか、それでもダメなら次の攻撃をするというように、 攻撃内容を記録・学習して精度を高め、自動的に一斉攻撃を仕掛けてくることが考えられます 。
もちろん、セキュリティ対策側もAIを導入、各種の攻撃から守るための方法を駆使して対抗 するようなことが考えられます。
さて、ここまでIoT時代のサイバー脅威について見てきましたが、 忘れて欲しくないのは、サイバー攻撃に対するリスクは皆さんにもあるということです。
自動車による事故のように、リスクや被害が可視化されていないので、「まさか、自分が」と思うかもしれませんが、Wi-FiやBluetoothなどのデバイスを使っていれば、サイバー攻撃の侵入経路になる可能性があります。
5GやIoTが普及することで、ネットワークのインフラがこれまで以上に広がり、遠隔による手術や介護、自動運転など、利便性の高い社会が形成されていきます。
そのなかで、個人情報やプライバシー、金銭的な被害を防ぐためにも、安全に暮らせる社会をつくるためにも、セキュリティに対する意識と理解を深めて欲しいと思います。
Photo: 香川博人
Image: VectorDoc , ProStockStudio , Evellean , Alexander Limbach/Shutterstock.com
Source: 情報通信研究機構 , 個人情報保護委員会 ,
取材協力:マカフィー株式会社