近年、保育園や工場などに設置された防犯カメラの映像が海外サイトを通じて流出し、誰でも閲覧できる状態になっていたことが社会問題化している。中には園児の顔が鮮明に映る映像も含まれ、プライバシーの観点から深刻な事態である。専門家によれば、これらの多くはネットワークカメラの初期設定のまま使用し、管理者パスワードが変更されていなかったことが原因とされる。つまり、外部から容易にアクセスできる状態で放置されていたのだ。インターネットに接続される機器（IoT機器）は便利である一方、適切に管理されなければ重大なセキュリティリスクとなる。この問題に対して、国立研究開発法人情報通信研究機構（NICT）が推進するプロジェクト「NOTICE」は、脆弱なIoT機器を特定し、利用者に直接注意喚起を行う取り組みを進めている。これは国が主体となって、利用者への啓発と安全確保を両立させようとする前例の少ない試みである。

 

このような問題は、今に始まったことではない。2016年初頭、ロシアの「Insecam」というサイトが世界中のネットワークカメラの映像を無断で中継し、日本国内でも6,000件を超える映像が公開された。当時は駐車場や店舗前の映像が主だったが、中には一般家庭の室内や病院の窓口、さらには集中治療室（ICU）の映像まで公開されており、社会に衝撃を与えた。その後、注意喚起が進んだ結果、日本国内の該当件数は400件前後にまで減少したものの、依然として高い水準であり、米国に次いで世界第2位の規模である。EU諸国の多くでは数十件規模にまで減少しており、日本のセキュリティ意識の低さが浮き彫りとなっている。

問題はネットカメラだけでなく、IoT機器全般に広がっている。スマートフォン、家庭用ルータ、スマート家電、さらには医療機器や自動車までもがネットワークに接続される時代において、これらの機器が一度でも攻撃者に乗っ取られると、いわゆる「ゾンビ化」し、外部から遠隔操作される危険がある。このように感染・支配された機器は「ゾンビカメラ」や「ゾンビスマホ」と呼ばれ、攻撃者の手先としてサイバー攻撃に利用される。

 

特に深刻なのは、DDoS（分散型サービス拒否）攻撃への悪用である。DDoS攻撃は、マルウェアに感染した端末群（ボットネット）から標的のサーバーへ大量のアクセスを一斉に送りつけ、サービスを停止させるものである。2000年代半ば、日本国内では「ゾンビPC」と呼ばれる感染パソコンが急増し、2006年には国内のPCの1割近くが感染しているとの推定もあった。政府はこれを受け、「サイバークリーンセンター」を設立し、ボットネット撲滅のための緊急対策を実施した。しかし、当時の感染対象は主にパソコンに限られていた。今日ではスマートフォン、家庭用Wi-Fiルータ、監視カメラなど、あらゆるIoT機器が標的となっており、規模・速度ともにかつてない次元に達している。ゾンビ化した機器は日常的に正常に動作しているように見えるため、利用者が異常に気付くことはほとんどない。その結果、知らぬ間に世界的なサイバー攻撃に加担している可能性がある。

 

こうした背景を受け、総務省とNICTは通信事業者と協力し、「NOTICE」プロジェクトを展開している。この取り組みでは、インターネット上のIoT機器に対して限定的なアクセス調査を行い、簡易パスワードや初期設定のままの危険な機器を特定、その所有者に警告通知を送る。通常、第三者が通信機器にアクセスすることは不正アクセス禁止法に抵触する可能性があるが、この活動は特別法に基づき、国家的なセキュリティ対策として合法的に実施されている点に特徴がある。NOTICEは単なる技術的監視ではなく、社会全体の啓発を目的としており、利用者に「自分の機器を守る責任」を促す教育的側面を持つ。

 

結局のところ、IoT社会における最大の弱点は「人」にある。どれほど強固な技術対策を講じても、利用者が初期設定を放置したり、怪しいリンクをクリックしたりすれば、システムは破られる。ゾンビ化の連鎖を断ち切るには、利用者一人ひとりが機器を適切に管理し、セキュリティ意識を高めることが不可欠である。NOTICEはそのための“気づき”を与える仕組みとして機能しており、国家・企業・個人の三者が協働するサイバー防衛体制の中核を担っている。今後、IoTがさらに進化し、社会インフラや医療・交通に深く結びつくほど、NOTICEのような活動の重要性は増していく。インターネットの利便性の裏に潜む「静かな脅威」から社会を守るために、私たち一人ひとりがゾンビ化の“加害者”にもなり得るという自覚が求められている。