140万台の大規模リコール、人命に関わる脆弱性も……
冒頭でも触れたとおり、2024年10月10日に「欧州サイバーレジリエンス法(CRA)」が成立し、2026年9月から一部適用が始まる。成立の背景には、IoT機器を狙ったサイバー攻撃の増加がある。IoTセキュリティに15年以上携わる伊藤氏は「現在、インターネット上でIoT機器の脆弱性を探しているパケットは増加の一途をたどっています。セキュリティ対策が十分でない無防備な製品をネットワークにつないでしまうとあっという間に攻撃の被害に遭う状況があります」と警鐘を鳴らす。
実際に、IoT製品に脆弱性が見つかったことで、事業に甚大な被害が及んだ企業は少なくない。2015年には、米国のセキュリティ専門家の2名がFiat Chrysler Automobiles社(現:Stellantis社)の自動車ブランド「Jeep Cherokee(ジープ・チェロキー)」をハッキングする実験に成功したことで、140万台の大規模リコールが行われている。「この事件を契機に、自動車業界におけるサイバーセキュリティへの認識が大きく変わりました。『実験でハッキングされただけだ』とそれほど重要視されていなかったものが、リコールにつながるのだと実証されたからです」と伊藤氏は語る。

また2016年10月には、防犯カメラやルーターなどのIoT機器を標的とするマルウェア「Mirai」が大規模なDDos攻撃を米国の各企業へ仕掛け、大きな被害が発生した。Miraiは、IoT機器の工場出荷時にログイン情報として登録される初期値のIDとパスワード情報をもって他にIoT機器に侵入を試みるという特徴がある。このインシデントは、IoT製品を提供する企業がすべての製品においてIDとパスワードの初期値を一律にしていたことと、さらにユーザー企業の多くがパスワードを初期値から変更していなかったことが被害の拡大につながった事例といえる。
さらに2017年には、メディカル領域でも大規模リコールが発生した。米国の医療機器メーカーAbbott社が提供する心臓ペースメーカーにおいて患者に危害を加えられる恐れがある脆弱性が発見され、リコールが行われている。米食品医薬品局(FDA)は米国全体で46万5000台のペースメーカーに影響があるとしてセキュリティ勧告を出し、Abbott社はその後ファームウェアのアップデートでこの脆弱性を修正しているが、「人命に関わる重要なIoT機器の設定を誰でも変えられてしまうような脆弱性が見つかったので、非常に大きな問題になりました」と伊藤氏は説明する。
このように、IoT製品の脆弱性を狙った攻撃の被害が深刻化していることを受け、業界標準や国際標準を定めようとする動きが活発化している。特に最近の兆候として、「従来定められていた製品の安全性を担保する規格に突然サイバーセキュリティの要件が入ってくる、といった変更がよく見られます。つまり、新しい要件を追いかけるだけでなく、これまで自分たちが安全性の標準だと思っていた規格の変更にも注意が必要だということです。そのため、自社に関わる業界の動向は常にウォッチしておく必要があるでしょう」と注意を呼び掛ける。
法規制のベースラインを作った“3国の事例”
法令によって強制力をより高める動きも本格化してきた。特に早い段階で動いたのが米国のカリフォルニア州とオレゴン州だ。先述したMiraiによるDDos攻撃が契機となり、2020年1月に「IoTセキュリティ法」を施行。州内で販売されるIoT製品へのセキュリティ要件の実装を義務付けた。「この法令ではMiraiのDDos攻撃被害を踏まえ、IoT製品を提供する企業に対して少なくともID・パスワードは一意のものを顧客に配布することが課せられています」と伊藤氏。
日本国内では、総務省が米国の動きに追随する形で対応が進み始めた。直接インターネット回線に接続する機器を対象として、電気通信事業法にIoTセキュリティ基準を盛り込み、2020年4月から施行。また英国では、2024年に「製品セキュリティおよび通信インフラストラクチャ法規制(Product Security and Telecommunication Infrastructure Act:PSTI法)」が施行され、コンシューマー向けIoT製品に対してサイバーセキュリティ要件が定められた。「ここまで見てきた米国2州、日本、英国の法令によってベーシックな法規制対応が始まりました」と伊藤氏は説明する。
さらに、2025年3月からはインターネットとの通信が行える幅広いIoT製品を対象に、「JC-STAR(Labeling Scheme based on Japan Cyber-Security Technical Assessment Requirements)」と呼ばれるセキュリティ要件適合評価およびラベリング制度が日本で開始された。独自のセキュリティ技術要件に基づき、IoT製品に対する適合基準への適合性を確認・可視化するものだ。こうしたIoTのセキュリティ認証マークを付与する取り組みも広がっているという。
もう一つ注目すべきIoTセキュリティの動向として、伊藤氏は「欧州の製造物責任法(PL法)の考え方が変化している」ことを挙げる。欧州におけるPL法の原則である「製造物責任指令(Product Liability Directive)」が全面的に改正され、CRA施行日(2024年12月11日)の直前となる12月8日に施行された。改正のポイントには、アプリケーションやオペレーティングシステム、AIなどすべての種類のソフトウェアが適用対象となっていること、サービス提供者側にも責任の所在を明確にしたこと、従来は「人的損害(人身傷害)」、「物的損害(財物に生じた損害)」損害の補償範囲となっていたが、この改正で「データの破壊または破損」による被害も新たに取り締まりの対象に追加されたことが挙げられる。
このような動向を踏まえ、伊藤氏は「そろそろ『何もやっていない製品ベンダーは大丈夫なのか』といった不安を持つ企業が増えてきています。今後顧客から信頼されるメーカーとしてブランドを確立していくためには、IoT製品のセキュリティ確保が必須の要件になると我々は考えています」と分析する。