IoT機器の初期設定パスワードが招くセキュリティリスクと企業への影響

IoT（モノのインターネット）機器は、私たちの生活やビジネスに便利さと効率をもたらします。

英国では、2024年4月29日に、消費者向けIoT製品の製造者に対して、最低限のセキュリティ基準への自己適合を義務付けるPSTI法が施行されるなど、セキュリティ強化に向けた動きが進んでいます。

一方、日本では、たとえIoTゲートウェイやエッジサーバー、産業用IoT機器において管理者やベンダーの所在が明確であっても、初期設定パスワードのまま運用されているケースが多く、十分な対策が講じられていないのが実情です。

また、経済産業省は、IoT製品のセキュリティ対策強化に向けた方針をとりまとめて公表し、注意喚起も行っています。

こうした注意喚起に加え、政府機関や重要インフラ事業者、地方公共団体に対しては、IoT製品の調達において本制度を活用するよう働きかけが行われる予定です。

それに伴い、中小企業を含む一般企業にとっても、これらの動きを無視することは難しくなっていくでしょう。

そこで、本記事では、初期パスワードの現状と、なぜ危険なのか、どのように悪用されるのか、企業が取るべき初期設定パスワードのセキュリティに関する対策について解説します。

初期設定パスワードとは？その現状

IoT機器やルーター、防犯カメラ、プリンターなど、ネットワークに接続される多くのデバイスには、製品出荷時にあらかじめ設定された「初期設定パスワード」が存在します。これは機器をユーザーが初めて使用する際に必要となるもので、製品マニュアルやメーカーサイトに明記されているのが一般的です。

初期設定パスワードには、以下のような非常に単純で覚えやすい組み合わせが用いられています。

• admin
• 1234
• user
• root
• password
• guest

こうした初期パスワードは利便性を優先して設計されている反面、セキュリティの観点では極めて脆弱です。メーカーによっては、同一機種すべてに共通の初期ID・パスワードを設定していることも珍しくなく、攻撃者にとっては非常に都合の良い“侵入口”となっています。

設定変更されずに使われ続ける現状とは

初期設定パスワードは、導入時にユーザー自身がより強力で個別のパスワードに変更することが前提となっています。しかし、現場ではこの変更が行われず、出荷時のまま使用され続けているケースが少なくありません。

その主な要因としてまず挙げられるのが、現場での変更作業が後回しにされやすいという点です。特に工場や倉庫、建設現場、オフィス機器など、まず「とりあえず動かす」ことが優先され、セキュリティ設定は後回しにされがちです。

また、多くの企業ではサーバー機器やインフラ系IoTデバイスの管理責任が部門間で曖昧になっていることがあります。たとえば、エッジサーバーや環境監視用のIoTゲートウェイが現場主導で設置された場合、IT部門と十分に連携が取れておらず、セキュリティ設定やパスワード変更の重要性が共有されないまま運用が始まってしまうケースがあります。その結果、初期設定のままのパスワードで長期間放置されるリスクが高まります。

加えて、企業や自治体が同一型番のIoT機器を数十台、数百台と大量導入している場合、1台ずつ個別にパスワードを変更する作業には大きな工数とコストがかかります。その結果、効率を優先して初期設定のままで運用されてしまうことでアタックサーフェスが上がってしまうリスクがあります。

なぜ初期設定パスワードが危険なのか？

初期設定パスワードが危険視される最大の理由は、初期のパスワードは、既知の情報であり、極めて簡単に悪用される可能性が高いからです。ここでその具体的な理由を見ていきましょう。

誰でも調べられる「公開された認証情報」

初期設定パスワードは、メーカーが公式に公開しているユーザーマニュアルやウェブサイト、さらにはオンラインフォーラムやGitHubなどを通じて、誰でも簡単に入手可能です。特定の機器名や型番がわかれば、検索エンジンで「[機器名] default password」などと入力するだけで、該当するログイン情報が表示される場合もあります。

そのため、攻撃者はネットワーク上の機器をスキャンしてIoTデバイスの情報を特定し、既知の初期設定パスワードがそのまま使われていれば、わずか数秒で不正アクセスに成功する可能性があります。

同一パスワードで複数機器を狙えるため攻撃効率が高い

多くのIoT機器では、製品ごとに共通の初期設定パスワードが使われており、ユーザーによって変更されないまま運用されているケースが少なくありません。

攻撃者にとっては、たった一つの認証情報を使い回すだけで、世界中の同じ機種に対して効率的にログインを試みることができます。

この特性を悪用したのが、かつて大規模な被害をもたらしたMiraiボットネットです。Miraiはインターネット上のIoT機器を自動的にスキャンし、初期設定パスワードのままになっている機器を次々と乗っ取って感染を広げていきました。乗っ取られたIoT機器は、DDoS攻撃（分散型サービス拒否攻撃）の踏み台として利用され、企業や政府機関、インフラサービスに対して大規模な通信障害を引き起こしたケースもあります。

このように、初期設定パスワードのまま放置された機器は、単に個別に危険というだけでなく、攻撃者にとって都合の良い「入口」として、さらなるサイバー攻撃の拠点となってしまうのです。ネットワークの安全を脅かす深刻なリスクと言えます。

攻撃対象になりやすく組織全体にも影響を及ぼす

攻撃者は、初期設定パスワードがそのまま使われている機器を優先的に狙います。なぜなら、そのような機器はセキュリティ対策が不十分で、他にも脆弱性が存在する可能性が高いと見なされるからです。

特にIoT機器は、ネットワークの末端や物理的に管理の手が届きにくい場所に設置されていることが多く、セキュリティが後回しにされがちです。そうした機器が侵害されると、攻撃者はそこを起点としてネットワーク内部へ侵入し、ラテラルムーブメント（横展開）によって他のシステムや端末、サーバーへと侵攻し、権限の昇格などを狙います。

このような動きによって、最初は単なるIoT機器の侵害であっても、最終的には社内の重要なデータベースや認証システム、ファイルサーバーまで不正アクセスされる可能性があります。さらには、ランサムウェアによる業務停止、情報漏洩に発展するリスクもあります。

初期設定パスワードが悪用される主な手口と攻撃の流れ

初期設定パスワードが放置されたIoT機器は、サイバー攻撃者にとって絶好の標的です。攻撃者はこの脆弱性を巧みに突き、段階的にネットワーク内部へと侵入していきます。ここでは、実際に多くの攻撃で用いられている一般的な手口と、その流れを解説します。

自動スキャンと既知パスワードの組み合わせ攻撃

攻撃の最初のステップは、インターネットに接続された機器のスキャンです。攻撃者は、ポートスキャンやバナーグラビングなどの手法を使って、対象のIoT機器のIPアドレスや機種情報、開放されているポートを収集します。

次に行われるのが「既知の初期設定パスワード」を使った総当たり攻撃です。

管理画面への侵入から設定改ざん・乗っ取りへ

初期パスワードによるログインに成功した攻撃者は、次に機器の管理画面へと侵入します。管理画面にアクセスできる状態になると、そのIoT機器のほぼすべての操作権限を掌握することが可能になります。例えば、正規の管理者を締め出すためにパスワードを再設定したり、ファームウェアを書き換えてマルウェアを組み込んだりすることができます。また、ネットワーク設定やシステム設定を改ざんし、意図的に脆弱な状態を作り出すことも容易になってしまいます。

社内ネットワークやクラウドへの横展開（ラテラルムーブ）

乗っ取られた機器が社内ネットワークに接続されている場合、攻撃者はそこを起点にさらに内部へと侵入していきます。これがいわゆるラテラルムーブメント(水平展開)と呼ばれる手口です。

攻撃者は、ネットワーク内の他の機器やサーバーに対して、同じ認証情報を試したり、脆弱なプロトコルを利用したりして水平方向に侵入先を拡大していきます。場合によっては、Active Directoryなどの認証基盤にまでアクセスが及び、特権昇格などし、社内全体のセキュリティが危険にさらされることもあります。

ランサムウェア

侵入後の最終ステージとして、近年特に増加しているのがランサムウェアによる攻撃です。攻撃者は、乗っ取ったIoT機器や社内システムにマルウェアを展開し、データを暗号化して利用不能にしたうえで、復号のための金銭を要求します。

IoT機器そのものが暗号化される場合もあれば、そこを踏み台として重要な業務サーバーやPC、クラウドストレージが暗号化の対象となることもあります。また最近では、二重脅迫型ランサムウェアと呼ばれる手口も一般的になってきています。

初期設定パスワードのセキュリティリスクを改善する方法

初期設定パスワードが原因となるセキュリティリスクは、放置すれば重大なインシデントにつながる恐れがあります。

ここでは、代表的な改善策を紹介します。

初期パスワードの変更し、強力なパスワードにする

最も基本かつ重要な対策は、出荷時の初期設定パスワードを必ず変更することです。導入時にパスワードを変更せずに運用を開始すると、それだけで攻撃者に突破口を与えることになります。

変更する際は、最低でも16文字以上、英字（大文字・小文字）、数字、記号を組み合わせた複雑なパスワードを設定し、使い回していないかつ推測されにくいものにすることが重要です。機器ごとに異なるパスワードを設定することで、万が一1台が侵害されても被害の拡大を防ぐことができます。

もちろん、初回ログイン時にパスワードの変更を強制する機種や、あらかじめ機器ごとにランダムなパスワードが割り当てられている製品も増えてきています。

しかし、たとえデフォルトのパスワードが明示されていたとしても、運用現場では見過ごされがちです。導入時や設置後にしっかり確認し、適切なタイミングで変更することが何より重要です。

組織内の管理者権限の見直し

IoT機器の設定や運用を現場任せにしていると、誰が管理責任を負っているのかが曖昧になり、パスワード管理も形骸化してしまいます。そのため、組織内での管理者権限を明確にし、誰がどの機器を管理しているのかを把握・記録しておくことが重要です。

加えて、管理者アカウントの共有は避け、個人ごとにアクセス権限を付与することで、誰がいつ何を行ったかを追跡できる体制を整えることも推奨されます。最小権限の原則を徹底し、必要最低限の操作しかできないアカウント構成にすることで、万が一の侵害時にも被害を限定できます。

パスワード管理ツールの活用とログ管理

複数のIoT機器を導入・運用する中で、すべてのパスワードを手動で管理するのは非現実的です。そこで、パスワード管理ツールを活用することで、安全かつ効率的な管理が可能になります。これにより、強力パスワードを機器ごとに設定しても、ユーザーが覚える負担を軽減できます。

また、アクセス履歴や設定変更などの操作ログを取得・保存し、定期的に確認することも忘れてはなりません。万が一、不審なアクセスが発生した場合でも、ログをもとに迅速な対応や原因調査が可能になります。IoT機器がログ機能を持っていない場合は、ネットワーク側での監視やSIEMツールとの連携も検討すべきです。

ゼロトラストの考え方を取り入れる

従来の「一度認証された内部ネットワークは信頼する」という考え方では、IoT機器のようなエッジデバイスの保護には不十分です。そこで注目されているのが、「何も信頼しない」を前提としたゼロトラストのセキュリティモデルです。

IoT機器に対しても、ネットワークアクセスの前提条件として、認証・認可を厳格に行う必要があります。たとえば、ゼロトラストの具体的な取り組みとしては、端末証明書の導入、多要素認証（MFA）の適用、そしてアクセス制御ポリシーを細かく設定する、必要なときに必要な人にのみ一時的な権限を付与するジャストインタイムアクセスの仕組みなど導入が挙げられます。

さらに、アクセス元のユーザーや端末の信頼性を都度検証し、必要に応じてリアルタイムで遮断・制限する仕組みを導入すれば、万が一パスワードが漏洩しても深刻な被害を防ぐことが可能になります。

企業の未来を守るために、初期設定パスワードの管理方法を見直そう

初期設定パスワードの放置は、些細なミスに見えても、組織全体を揺るがす重大なセキュリティリスクにつながります。

IoT機器の普及が進む現代においては、ネットワークの境界が曖昧になり、従来の「内側は安全」という考え方は通用しなくなっています。たった1台のIoT機器が突破口となり、企業の中枢システムや顧客データが脅かされる事例も、すでに現実のものとなっています。

このような事態を未然に防ぐためには、ユーザー側が初期設定パスワードを強力なものに変更するという基本を徹底するのはもちろんのこと、権限管理やアクセス制御、ゼロトラストの導入など、組織全体でのセキュリティ対策が不可欠です。

同時に、IoT機器を提供するベンダーにも責任があります。出荷時から個別の強固なパスワードを割り当てる、初回ログイン時にパスワード変更を強制する、セキュリティガイドラインを整備するなど、利用者任せにしない設計と配慮が望ましいです。

その両者を支援するソリューションとして注目されているのが、KeeperPAMのようなゼロトラスト型のPAMソリューションです。KeeperPAMは、パスワードマネージャーと統合されており、パスワードポリシーの管理、ゼロトラスト原則に基づいた細かいアクセス制御を提供し、管理者権限の削除、JITアクセス昇格の有効化、特権アクティビティの監視が可能になります。人的ミスや初期設定の見落としといった脆弱性を減らし、攻撃者に付け入る隙を与えません。

KeeperPAMのデモをリクエストして、どのように初期設定パスワードのリスクから脱却し、自社のIoT機器を保護できるかをご確認ください。

---

よくある質問