※本記事にはアフィリエイトリンクが含まれます。詳しくはプライバシーポリシー・広告掲載についてをご覧ください。
世界のIoTデバイス接続数は2026年時点で180億台を超えたとされ、スマートスピーカー・防犯カメラ・工場の制御装置まで、あらゆるモノがインターネットに接続されています。一方でIPAの「情報セキュリティ10大脅威 2026」では、IoTデバイスへの不正アクセス・ボットネット化が組織部門の上位脅威にランクインし続けています。本記事では、IoTを狙う攻撃の最新手口と、スマートホームから産業IoT(OT)まで幅広く適用できる実践的な対策を解説します。
IoTセキュリティが重要な理由:2026年の脅威状況
IoTデバイスは従来のPCやサーバーと比較して、セキュリティ上の弱点を数多く抱えています。処理能力・メモリの制約からセキュリティソフトを導入できないケースが多く、ファームウェアの更新サポートが数年で終了する製品も珍しくありません。さらに「とにかく動けばいい」という開発優先の文化から、デフォルトパスワードや既知の脆弱性を持ったまま出荷・運用されるデバイスが後を絶ちません。
IoTボットネットの拡大
Mirai以降のIoTボットネットは年々巧妙化しており、2025〜2026年にかけてはMirai派生型「Gayfemboy」や「Eleven11bot」が数万台のカメラ・ルーターを感染させ、記録的規模のDDoS攻撃(テラビット級)に悪用されたと報告されています。感染したデバイスのオーナーは自身のデバイスが攻撃インフラとして利用されていることに気付かないことが多く、発見・対処が遅れます。
産業IoT(ICS/OT)への標的型攻撃
電力・水道・製造業などの重要インフラを制御するICS(産業制御システム)やOT(運用技術)ネットワークへの攻撃が増加しています。ウクライナの電力インフラを狙ったSandwormや、米国の浄水場制御システムへの侵入事件は、IoT/OT攻撃が物理的な被害に直結することを示しています。日本でも2023〜2024年に複数の自治体・病院でランサムウェアがOTネットワークに侵入した事例が報告されています。
スマートホームデバイスを踏み台とした企業ネットワーク侵入
テレワーク普及後、自宅のIoTデバイスが企業ネットワークへの侵入経路となるケースが増えています。セキュリティパッチが当たっていないホームルーターやNASが侵害され、そこからVPN接続を通じて企業内ネットワークに横移動する攻撃パターンが確認されています。
IoTデバイスが狙われる主な脆弱性と攻撃手口
デフォルトパスワード・弱い認証
IoTデバイスの最大の脆弱性は、初期設定のまま運用されることです。メーカーが設定した「admin/admin」「root/1234」などのデフォルト認証情報はオンラインで公開されており、Shodan等の検索エンジンでインターネット上の脆弱なデバイスを発見した攻撃者は、数秒で不正ログインできます。MiraiボットネットもTelnet/SSHへのデフォルトパスワード総当たりで数十万台を感染させました。
パッチ未適用・サポート切れファームウェア
IoTデバイスはファームウェアの自動更新機能を持たない製品が多く、既知の脆弱性(CVE)が何年も放置されるケースがあります。2024年のCISA KEV(既知悪用脆弱性カタログ)には、Cisco・D-Link・TP-LinkのIoT製品の脆弱性が多数追加されており、サポート切れデバイスは特に危険です。
暗号化されない通信・平文プロトコル
MQTT、CoAP、Modbusなど、IoT向けプロトコルの中には暗号化をデフォルトでサポートしないものがあります。同一ネットワーク内での中間者攻撃(MITM)により、センサーデータの盗聴・改ざん、コマンドのなりすまし送信が可能となります。特に産業IoT環境では、平文プロトコルが今も広く使われています。
クラウド管理コンソールの脆弱性
IoTデバイスの管理に使われるクラウドダッシュボードやモバイルアプリ自体に脆弱性が存在するケースもあります。API認証の不備、過剰な権限付与(IDOR)、JWT検証の不備などがIoTバックエンドで発見されています。デバイス本体を堅牢にしても、管理基盤が侵害されれば大規模な被害につながります。
スマートホーム向けIoTセキュリティ対策
デフォルトパスワードの即時変更
IoTデバイスを購入・設置したら最初に行うべきことは、デフォルトパスワードの変更です。12文字以上のランダムな英数字・記号で構成されたパスワードを設定し、デバイスごとに異なるパスワードを使用します。パスワードマネージャー(Bitwarden、1Password等)を活用して管理するのがおすすめです。
ネットワークセグメンテーション(IoT専用VLAN)
ホームルーターでゲストネットワークを活用し、IoTデバイスをPC・スマートフォンと別のネットワークセグメントに分離します。これにより、IoTデバイスが侵害されても主要デバイスへの横移動を防ぐことができます。多くの家庭用Wi-Fiルーターにはゲストネットワーク機能が搭載されており、設定にかかる時間は数分程度です。
ファームウェアの自動更新有効化・定期確認
デバイスの設定メニューで自動更新オプションがあれば有効化します。自動更新に対応していない製品は、メーカーのサポートページを月1回確認し、新しいファームウェアがリリースされたら手動で適用します。サポートが終了した製品は、セキュリティリスクを承知のうえで買い替えを検討します。
不要な機能・ポートの無効化
使用していないTelnet・SSH・UPnP・リモートアクセス機能はデバイスの管理画面から無効化します。UPnPは利便性が高い一方、ファイアウォールのポートを自動的に開放するため、IoTデバイスがインターネットから直接アクセス可能になるリスクがあります。
企業・産業IoT向けセキュリティ対策
IoTデバイスの資産管理・インベントリ整備
まずネットワーク上のすべてのIoTデバイスを把握することから始めます。Nmap、Microsoft Defender for IoT(旧Azure Defender)、Claroty、Xiotなどのツールを使った自動検出により、シャドーITとして接続されたデバイスを含めて可視化します。「何が接続されているかわからない」状態はセキュリティの死角です。
ゼロトラストアーキテクチャの適用
IoTデバイスを含むすべての接続に対して「信頼しない、常に検証する」ゼロトラスト原則を適用します。デバイス認証(証明書ベース)、マイクロセグメンテーション、最小権限の原則を組み合わせることで、一台のデバイスが侵害されても被害を局所化できます。NISTのSP 800-207(ゼロトラストアーキテクチャ)は実装の参考になります。
OT/IT分離とエアギャップ
産業環境では、制御ネットワーク(OT)と業務ネットワーク(IT)を物理的または論理的に分離します。インターネットに直接接続が不要な制御機器はエアギャップ(物理的なネットワーク遮断)で保護し、どうしても通信が必要な場合はDMZ経由の一方向データダイオードの使用を検討します。
セキュリティ監視(SIEM・異常検知)
IoTデバイスのログをSIEM(セキュリティ情報イベント管理)に統合し、異常な通信パターンを検知します。大量のアウトバウンド通信(DDoS参加の可能性)、想定外の時間帯のアクセス、新たなポートへの接続試行などをアラートとして設定します。AIベースの異常検知ソリューション(Darktrace、Vectra AI等)はIoT特有の振る舞いを学習し、未知の攻撃にも対応します。
調達・開発段階でのセキュリティ要件組み込み(SbD)
欧州のCRA(サイバーレジリエンス法)や米国のCISAガイドラインでは、IoTデバイスのセキュリティ・バイ・デザイン(SbD)が義務化・推奨される方向に進んでいます。調達仕様書にセキュリティ要件(脆弱性開示ポリシー、最低保証期間、デフォルト認証情報禁止等)を明記し、サプライヤーに遵守を求めることが重要です。
コメント