IoT――インターネットにつながるスピーカーやテレビ、家のロックといったデバイスが攻撃の対象になると、サイバーセキュリティ問題はPCやスマホの場合とどう異なるのか?
その答えに、Atias氏は「スケール」を挙げる。例えば2016年秋に拡散したマルウェア、「Mirai」ボットネットは、特にWebカメラへの感染が大きく取り上げられた。Miraiは一度デバイスの感染に成功すると自身を複製して多数のデバイスに感染を広げる。「同じデバイス、同じ脆弱性、すべて接続されている。そして多くは保護されていない」(Atias氏)。
他のIoTデバイスでも状況は同じだ。「数百万台のエンドポイントを攻撃し、アクセスを獲得してコマンドを実行するというのは、比較的新しい。IoTデバイスが存在する前にはなかったものだ」という。
だがAtias氏が最も強調するのは、デジタルと物理世界の境界線がIoTではなくなってしまうという特徴だ。
これまでのサイバーセキュリティの被害といえば、PCの感染、ファイルにアクセスできないなど、デジタルの中にその影響をとどめていた。
これに対し、サーモスタット、電球、ドアなどのIoTデバイスは、物理的な資産を制御している。これらが乗っ取られた場合、被害も物理的な世界に及ぶ。つまり、ドアが開かない、温度が上がらない、冷蔵庫が冷やしてくれない、シャワーの温度を調節できないなどの事態につながる。さまざまな副次的影響をもたらしかねず、これまでにない未知のリスクを呈している。
「ハッカーは脆弱なポイントをひとつ見出すと、そこからネットワークに侵入して物理的な被害を与えることができる」とAtias氏、残念ながら業界のルールが少なく、デバイスレベルでのセキュリティ対策が不十分と指摘されることが多いコンシューマ向けのIoTでは、このリスクを緩和することは難しいのが現状だという。
Atias氏の提案は、ネットワークレベルでのセキュリティ対策だ。それにより、個々のIoT製品のセキュリティやプライバシーのレベルを気にすることなく利用できると述べた。