このような攻撃の最たる例が、「Mirai」と呼ばれるマルウェアを使って構築されたボットネットです。Miraiがターゲットとしたのはホームルーターやネットワークカメラといったデバイスで、60組分の初期設定のIDとパスワードが組み込まれていて、そのいずれかがデバイスで使われていると感染してしまいます。この手法でMiraiは50万台のIoTデバイスを乗っ取り、さまざまなサービスにDDoS攻撃を仕掛けました。その際のスループットは最大で1Tbpsとも言われており、「どのプロバイダーでもこれだけの攻撃を防ぐのは難しい」（小山氏）というレベルでした。

「問題は、攻撃に加担している人、つまりMiraiに感染したIoTデバイスの所有者が何も困らないことなんです。パソコンであれば大切な情報も含まれているため、ウイルス対策ソフトを導入しようなどと考えますが、ルーターやネットワークカメラにMiraiが感染し、外部に対してDDoS攻撃を行っても自分は困りません。ですから対策が進ませんし、また仮に対策しようとしても、ウイルス対策ソフトは売っていません。こういった状況にどのように対応していくかを考えなければなりません」（小山氏）

　2014年11月には、ホームルーターの脆弱性を利用してインターネット接続のためのIDとパスワードを不正取得していた業者が一斉摘発されました。取得されたIDとパスワードは中国の代理店を介して客に提供され、不正アクセスや不正中継サーバを介した不正送金などに使われていました。

不正中継業者の一斉摘発 2014年11月

　このように、新たなリスクとなるIoTにおけるセキュリティ対策をどのように進めるべきでしょうか。小山氏は3つのポイントを守れば95％以上のリスクを回避できると説明します。

「まず、1つめは安全なパスワードを使うことです。初期設定のまま運用しないのはもちろん、『01234』など簡単なものは使わない、子どもの名前などわかりやすいものを設定しないといった基本を守れば、破られることはめったにありません。2つめはファームウェアのアップデートが簡便な製品を選ぶこと。そして3つめがWi-Fiを適切に設定して管理することです。これをしっかり守れば、何とか対応していけるのではないかと思います」

製品選定のポイント