EVENT | 2019/04/10

IoT機器の廃棄や転売に潜む個人情報漏洩の恐れ。収集・蓄積されたデータがブラックボックス化され「見えない」不安も

Photo By Shutterstock

伊藤僑
Free-lance Writer / Editor&nbs...

SHARE

  • twitter
  • facebook
  • はてな
  • line

Photo By Shutterstock

伊藤僑

Free-lance Writer / Editor 

IT、ビジネス、ライフスタイル、ガジェット関連を中心に執筆。現代用語辞典imidasでは2000年版より情報セキュリティを担当する。SE/30からのMacユーザー。著書に「ビジネスマンの今さら聞けないネットセキュリティ〜パソコンで失敗しないための39の鉄則〜」(ダイヤモンド社)などがある。

高価で高機能なIoT機器にもセキュリティ面の懸念が

IoT機器の爆発的な普及が進む中で、セキュリティ面における脆弱さを懸念する声が高まっている。総務省が2月中旬より開始した「IoT機器に無差別に侵入して対策が不十分な機器を洗い出す調査」も、そうした懸念に応えたものといえるだろう。

同調査の対象となるのは、一般の家庭で利用されているルーターやウェブカメラなどのIoT機器およそ2億台。IDやパスワードが初期設定のままになっているなど、セキュリティ対策が不十分な機器を洗い出し、ユーザーに注意を促すことが調査の狙いとされる。

特に危惧されているのが、十分なセキュリティ対策を施すことが難しい低価格のIoT機器の増加だ。悪意ある攻撃者による乗っ取りが容易なため、すでに盗聴や盗撮、DDoS攻撃用ボットネットなどへの悪用が頻発している。

そのため、IoT機器のセキュリティ対策というと低価格の製品に注目が集まりがちだが、高価で高機能な製品にも注意を払う必要があると筆者は以前から感じていた。

高価なIoT機器であれば、セキュリティ対策にも十分なコストをかけることができるはずだ。しかし、より高度な機能・性能を実現するためには、より多くの情報を収集・活用する必要が生じる。そこには、攻撃者のターゲットになり易い、価値ある情報も含まれることが予想される。

廃棄されたテスラ車の事例で判明した、個人情報が漏洩する危険性

高価なIoT機器の代表格といえば自動車だ。

つい最近にも、事故で廃棄されたテスラ社のクルマに、元所有者の個人データが大量に保存されていたことが話題になった。

CNBCの記事によると、セキュリティ研究者が廃車になったテスラ社のクルマを入手し、車内のコンピュータに記録されたデータを調査したところ、暗号化されていないものも含め多くのデータが見つかったという。

見つかったデータには、所有者の住所やナビによる移動経路、スマホとのペアリング回数などに加え、事故当時の映像記録すら発掘されたようだ。

この事例で問題なのは、クルマが正常に機能する状態で転売や廃車にする場合には、所有者は個人情報などのデータを消去することができるが、事故などによってデータ消去の操作が困難になった場合には、そのまま残ってしまう恐れがあるということだ。

そして、専門的な知識や技能があれば、それらのデータを読み出せることが実証されてしまった。

これはテスラ社のクルマに限ったことではないだろう。コネクティッドカーと呼ばれる常時ネットワークに接続されたクルマや、自動運転機能などを搭載するクルマが増加している現状を考えると、同様の危険性は多くのクルマにも内在しているはずだ。

機器の特性に合わせ、廃棄や転売する際の扱い方を考慮すべき

多くのセンサー、カメラ、マイクを搭載し、所有者や住まいに関する多くの情報を収集しているであろうペットロボットやスマート家電などにも、クルマと同様に情報漏洩の恐れがある。他人には知られたくない、よりプライベートな場所で利用されるだけに、情報漏洩した際の深刻さはクルマ以上といえるかもしれない。

IoT機器には、収集・蓄積されたデータがブラックボックス化されていて、パソコンやスマートフォンのように、所有者がデータを自由に扱い、参照することが難しいという面があることも忘れてはならない。カメラやマイクが搭載されている場合には、どのようなデータが収集・記録されているか気になるところだ。

また、初期化すればデータはすべて消去されると解説されていても、パソコンのように、消去時にランダムなデータで上書きすることによって、第三者が後から読み出すことをできなくするような処置が行われているかどうかは定かではない。

今後は、ユーザーが安心して利用するためにも、IoT機器メーカーには収集・蓄積しているデータの内容や扱い方をできるだけ詳しく公開して欲しいものだ。また、ユーザー自身も、そのIoT機器がどのような情報を収集・蓄積しているかを予想し、廃棄や転売する際の扱い方を考慮すべきだろう。