IoTセキュリティリスクと対策｜工場・オフィスの盲点製造業・オフィスで見落としがちなIoT機器の脆弱性と、今すぐ始められる具体的対策

IoTデバイスが招くサイバー攻撃リスクと5つの対策

IoTデバイスは工場の生産設備や監視カメラ、オフィスの複合機やネットワーク機器など、あらゆる場所に導入されています。しかし、初期パスワードの放置やファームウェア未更新が原因となり、IoTサイバー攻撃の侵入口になるケースが急増しています。本記事では、スマートファクトリー化が進む工場とオフィスに潜むOTセキュリティリスクを解説し、今すぐ実施できる5つの具体対策をお伝えします。対策の要点は、IoT機器の棚卸し、初期パスワード変更、ファームウェア更新、ネットワーク分離、不要機能の停止です。

総務省の令和7年版情報通信白書によると、世界のIoTデバイス数は2024年時点で420億台を超え、今後もますます増加すると予測されています。この爆発的な普及の裏側で、サイバー攻撃の標的も急速に拡大しているのが現実です。実際に、ある調査では組織が半年間で15億件を超えるIoT攻撃を発見しており、これは前の半年間の6億3,900万件と比較して2倍以上の増加となっています。

製造業においては、2024年にランサムウェアによる攻撃が特に顕著となり、ITネットワークからOT（運用技術）領域への横展開によって工場停止やサプライチェーン断絶を招く事例が多発しました。IoTセキュリティ対策は、もはや「あったほうがよいもの」ではなく、事業継続のための必須要件となっています。

IoTデバイスとは何か｜OTセキュリティの観点から理解する

IoTデバイスとは、インターネットに接続して情報を送受信する機器の総称です。スマートファクトリー化が進む製造業の工場では、生産設備に取り付けられたセンサー、監視カメラ、制御システム（PLC）、作業員が使用するタブレット端末やウェアラブルデバイスなどがこれに該当します。オフィス環境では、複合機、ネットワークカメラ、スマートスピーカー、会議室の予約システム、さらにはエアコンや照明の制御装置なども含まれます。

工場とオフィスで使用されるIoT機器は、それぞれ特徴が異なります。工場では監視カメラ、PLC（制御装置）、IoTセンサー、産業用ロボットなどが中心となり、これらはOTセキュリティの観点から管理が必要です。一方、オフィスでは監視カメラに加えて、複合機、ネットワークプリンター、スマートスピーカー、入退室管理システムなどが主な機器となります。

従来、パソコンやサーバーについては多くの企業がセキュリティ対策ソフトを導入し、定期的なアップデートを実施してきました。一方で、IoTデバイスについては「インターネットにつながっている」という認識が薄く、対策が後回しにされがちです。しかし、IoTデバイスもインターネットに接続している以上、パソコンやサーバーと同様にIoTサイバー攻撃のリスクにさらされています。

IoTデバイス特有の課題として、機器の処理能力やメモリ容量の制約から、セキュリティソフトをインストールできない製品が多いことが挙げられます。また、製品のライフサイクルが10年以上と長期にわたることも多く、当初のセキュリティ対策のまま運用を続けることで、脆弱性が年々蓄積していくリスクがあります。

工場におけるIoTセキュリティリスク｜生産停止の現実

スマートファクトリー化の推進に伴い、製造業の現場ではIoTデバイスの導入が加速しています。機械の状態監視、予知保全、エネルギー管理など、IoT技術の活用によって生産効率の向上や品質改善が実現できる一方で、IoTサイバー攻撃を受けた場合の被害は甚大なものとなります。

2022年に国内大手自動車メーカーの部品サプライヤーがサイバー攻撃を受けた事例では、14カ所の工場の28ラインが停止し、約1万3,000台分の生産に影響が出ました。この事例における被害の流れを説明します。まず攻撃者は、子会社が独自に構築したリモート接続機器の脆弱性を突いて侵入しました。次に、子会社のネットワーク内で横展開を行い、親会社のネットワークへ到達しました。最終的に、親会社のシステムが攻撃を受け、取引先である自動車メーカー全体の生産ラインが停止する事態となりました。このような攻撃の流れは、OTセキュリティにおける典型的なパターンとなっています。

工場のOTシステムは、もともと外部ネットワークとは分離された「閉域環境」で運用されることを前提に設計されていました。そのため、OSやアプリケーションのアップデートが行われていない古いシステムが稼働し続けているケースが少なくありません。こうした環境にIoTデバイスを導入して外部との接続が生まれると、脆弱性を突かれてサイバー攻撃の侵入口となってしまいます。

また、工場で使用されるIoT機器には、監視カメラ、温湿度センサー、振動センサー、流量計など多種多様な製品が含まれます。これらの機器は、初期パスワードのまま運用されていたり、ファームウェアの更新が行われていなかったりすることが珍しくありません。攻撃者はこうした管理の甘い機器を踏み台にして、より重要なシステムへの侵入を試みます。

オフィスにおけるIoTセキュリティリスク｜見落とされる盲点

オフィス環境においても、気づかないうちにIoTデバイスが増加しています。複合機やネットワークプリンター、監視カメラ、入退室管理システム、会議室の予約システム、さらにはスマートスピーカーやセットトップボックスなど、ネットワークに接続された機器は想像以上に多いものです。

警察庁が注意喚起を行っている事例として、テレビに接続して海外動画を視聴できると謳って販売されているIoT機器の中に、不正なソフトウェアが仕込まれているものがあります。こうした機器をインターネットに接続すると、プロキシとして動作するマルウェアに感染し、攻撃者がこの機器を経由して他のシステムを攻撃する際の中継点として悪用される危険性があります。

複合機やプリンターも見落とされがちなリスク要因です。これらの機器は印刷データやスキャンデータを内部に保存しており、適切なセキュリティ設定がなされていないと、機密情報が外部に漏洩する可能性があります。また、ファームウェアの更新が行われていない古い複合機は、ネットワークへの侵入口として悪用されるリスクがあります。

監視カメラについては、過去にロシアのあるウェブサイトで、世界中の監視カメラの映像がURLとともに公開されていることが発覚した事例があります。このとき、日本国内の約6,000台のカメラ映像も含まれていました。これらの映像は、IDとパスワードが設定されていないか、初期設定のまま変更されていないネットワークカメラのものでした。

代表的なIoT攻撃手法と被害の実態

IoTデバイスを狙った攻撃の代表例として、2016年に発見されたマルウェア「Mirai」があります。Miraiは、ウェブカメラやルーターなどのIoTデバイスの脆弱性を突いて感染を広げ、感染した機器を一斉に操作してDDoS攻撃（分散型サービス拒否攻撃）を実行しました。Miraiに感染した約18万台のIoTデバイスから特定のウェブサイトに大量のアクセスが集中し、サービス停止に追い込まれる被害が発生しています。

国立研究開発法人情報通信研究機構（NICT）のNICTER観測レポート2024によると、Miraiおよびその亜種による通信は流行時と比べて減少傾向にあるものの、現在も国内で一定数の感染機器が確認されています。さらに、Miraiの特徴を持たない新たなIoTボットも増加しており、従来のMirai亜種と同等またはそれ以上の規模で拡大しているとされています。

2024年度のNICTER観測レポートでは、ダークネット（未使用のIPアドレス空間）経由の1IPアドレス当たりの年間総観測パケット数が242万を超えました。このパケット数は年々増加傾向にあり、IoTサイバー攻撃の脅威が高まっていることを示しています。

ランサムウェアによる攻撃も深刻化しています。攻撃者はIoTデバイスやリモート接続機器の脆弱性を突いてネットワークに侵入し、重要なデータを暗号化して身代金を要求します。製造業の場合、生産活動の停止が財務的損失に直結することから、攻撃者にとって脅しやすい標的として狙われやすい傾向があります。生産停止による損失は、1日あたり数千万円から数億円に及ぶケースも報告されており、復旧にかかる費用や信頼回復のコストを含めると、被害総額はさらに膨れ上がります。

今すぐ始めるべきIoTセキュリティ対策

御社でIoTセキュリティ対策を進めるにあたり、以下の5つの具体的なアクションを検討してください。

第一に、自社のIoT機器を棚卸しすることが出発点となります。工場やオフィスに設置されているネットワーク接続機器をすべてリストアップし、各機器のメーカー、型番、ファームウェアのバージョン、パスワード設定の状況を把握します。見落としがちな機器として、監視カメラ、複合機、ルーター、スイッチングハブ、IoTセンサーなどがあります。

第二に、初期パスワードの変更を徹底します。多くのIoTデバイスは、工場出荷時に設定された初期パスワードのまま運用されていることがあります。攻撃者はメーカーのマニュアルから初期パスワードを入手できるため、これを変更せずに使用することは、玄関の鍵を開けっ放しにしているのと同じ状態です。推測されにくい複雑なパスワードに変更してください。

第三に、ファームウェアを最新の状態に保つことが重要です。IoTデバイスのメーカーは、発見された脆弱性に対応するためのセキュリティパッチを定期的にリリースしています。これらのアップデートを適用しないまま運用を続けると、既知の脆弱性を突かれて攻撃を受けるリスクが高まります。

第四に、ネットワークのセグメント化を検討します。IoTデバイスが接続されているネットワークと、基幹システムが接続されているネットワークを分離することで、万が一IoTデバイスが攻撃を受けた場合でも、被害の拡大を防ぐことができます。

第五に、不要な機能やポートを無効化します。IoTデバイスには、実際には使用していない機能やサービスが有効になっていることがあります。これらは攻撃者にとって侵入経路となりうるため、使用しない機能は無効化することが推奨されます。

これらの対策を確実に実施するために、以下のチェックリストをご活用ください。IoT機器の棚卸しを実施したか、初期パスワードを変更したか、ファームウェアを最新版に更新したか、IoTネットワークを基幹システムから分離したか、不要な機能やポートを停止したか。この5項目を定期的に確認することで、IoTセキュリティの基本的な防御体制を維持できます。

経営課題としてのIoTセキュリティ

IoTセキュリティ対策は、情報システム部門だけの課題ではありません。経済産業省が公表している「工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン」では、製品事業の伸張や事業継続への影響をはじめ、工場の安全、品質、納期、コストの確保といった生産活動の根幹への影響が指摘されています。

また、自社工場が攻撃の踏み台となり、サプライチェーンの取引先へ被害が拡大するリスクも考慮する必要があります。サプライチェーンの一部を担う企業のセキュリティ事故は、取引先全体に波及効果をもたらします。企業間取引において、十分なセキュリティ対策が取引条件として盛り込まれるケースも増えてきており、OTセキュリティ対策の不備が取引機会の損失につながる可能性もあります。

IPAが公開している「サイバーセキュリティ経営ガイドライン」では、セキュリティ対策を経営戦略として位置づけ、継続的な投資と改善の必要性が示されています。経営陣がセキュリティ対策の方針を決定し、組織全体で取り組む体制を構築することが求められています。

まとめ

IoTデバイスのセキュリティリスクは、工場の生産停止、機密情報の漏洩、サプライチェーン全体への被害拡大など、企業経営に深刻な影響を与える可能性があります。世界のIoTデバイス数が420億台を超える現在、スマートファクトリー化やオフィスのIoT化が進む中で、OTセキュリティ対策の重要性はますます高まっています。

御社で今すぐ取り組むべきことは、IoT機器の棚卸し、初期パスワードの変更、ファームウェアの更新、ネットワークのセグメント化、不要機能の無効化の5点です。これらの基本対策を着実に実施することで、IoTサイバー攻撃のリスクを大幅に低減できます。

IoTセキュリティ対策の推進にあたっては、専門的な知見を持つパートナーとの連携が効果的です。GXOでは、180社以上の支援実績を持つ専門チームが、工場やオフィスのIoTセキュリティ診断から対策の立案・実装まで伴走型で支援いたします。IoTセキュリティに関するお悩みがございましたら、お気軽にご相談ください。

▶ お問い合わせはこちら：https://gxo.co.jp/contact-form