お知らせ

2024年7月1日
一般社団法人ICT-ISAC

脆弱な状態にある重要IoT機器※1の令和5年度調査及び注意喚起について(報告)

一般社団法人ICT-ISACは、NTTコミュニケーションズ株式会社、横浜国立大学、株式会社ゼロゼロワン、株式会社サイバー創研、NDS ソリューション株式会社と協力し、総務省から受託された事業として、脆弱な重要IoT機器の調査を実施しました。本調査では、国内の重要施設に設置されているIoT機器について、利用事業者名や用途がインターネット上から容易に判別できるなどにより攻撃を受けやすい状態に置かれていないかどうか速やかに調査を行い、問題のある機器を使用している法人の所有者・運用者等に対して注意喚起や対策実施の促進を行いました。注意喚起は2024年1月から2024年3月中旬にかけて実施しました。

重要IoT機器調査の概要


図 重要IoT機器調査の概要

サイバー攻撃を受けやすい状態にある重要機器として2,883件が検出され、インターネット検索等により1,122件の利用者を特定しました。電話などによる注意喚起は868件(実地調査5件含む)行いました。また、注意喚起の結果、802件(注意喚起の92%)が何らかの対策を実施したことを確認しました。

本調査を通じて、検知した重要IoT機器は、Web画面を有するデータロガーや、Webカメラなどの接続機器の起動停止を行うものが多く、河川や水道などの水処理施設や太陽光発電を含む発電設備の遠隔監視の目的で設置されていることがわかりました。
 調査対象の関係者の中には、セキュリティ意識が十分でなく、重要IoT機器の設置状況やそのWeb画面がインターネット上に公開されていることなど、サイバー攻撃を受けやすい状態にあることを認識していないケースも見られました。

なお、2024年3月末をもって、本調査における注意喚起対応を終了いたしました。

ICT-ISACは、今後も国内のISPを含む通信事業者に加え、放送事業者、ソフトウェアベンダー、情報提供サービス事業者、情報関連機器製造事業者等、幅広い分野の会員と連携し、サイバーセキュリティの観点から、安全な情報通信技術(ICT)社会の形成に寄与する活動を推進していきます。

○関連情報

※1
重要IoT機器は、国内の重要施設(重要インフラ、宿泊施設、学校、商業施設など、障害が発生すると数百人以上に影響が出る可能性のある施設)に設置されているIoT機器を指します。

脆弱な重要IoT機器とは、以下の特徴を持つIoT機器のことを指します。
  1. 利用事業者名や機器の用途がインターネット上から容易に判別可能である。
  2. 社会に大きな影響を及ぼすリスクを伴う使用がされている。

このような脆弱性を持つIoT機器は、サイバー攻撃のターゲットとなりやすく、適切なセキュリティ対策が必要とされます。