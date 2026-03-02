国立研究開発法人・情報通信研究機構（ＮＩＣＴ）が国内のＩｏＴ機器を対象に毎月行っている調査で、ＩＤやパスワードが脆弱（ぜいじゃく）で不正アクセスのリスクが高い機器の検知件数が２０２５年は累計１７万件超に上ったことがわかった。

調査対象の拡大などにより検知件数は年々増加している。カメラをのぞき見されたり、サイバー攻撃に悪用されたりする恐れがあり、担当者はパスワードの見直しなどの対応を呼びかけている。（藤亮平、小峰翔）

同機構は１９年４月から、国内のＩｏＴ機器の脆弱性を調べる取り組み「ＮＯＴＩＣＥ（ノーティス）」を展開している。

調査は、国内のネットプロバイダー約１００社から毎月提供される計１億２０００万件前後のＩＰアドレス（ＩｏＴ機器のネット上の住所）を対象に、月１回実施。容易に推測できるＩＤ・パスワードの組み合わせ約６００通りを自動入力し、アクセスできるかどうかを調べる。アクセスできた場合、プロバイダーを通じて所有者にメールや郵便で注意喚起している。

２５年１〜１２月の調査では、脆弱な機器の検知件数は累計で１７万４６７６件に上った。調査を開始した１９年は、参加するプロバイダーは約２５〜４０社、自動入力するＩＤ・パスワードは約１００通りと少なかったため、累計４５１８件（４〜１２月）だったが、その後は参加プロバイダーの増加などに伴い検知件数も増えている。

検知された機器は、ルーターが約半数を占め、カメラは１割程度となっている。工場出荷時に共通パスワードが設定されていた旧型機が多いという。

脆弱なカメラが乗っ取られたとみられる被害も起きている。文部科学省は２５年１０月、国内の保育施設に設置されたカメラがハッキングされ、施設内の映像が外部から見られる状態になっていたとして、保育所や幼稚園に注意喚起の通知を出した。関係者によると、被害のあったカメラの映像には、園児や保育士とみられる人物が映っていたという。

サイバー攻撃の一種で、大量のデータを送りつけてシステム障害などを引き起こす「ＤＤｏＳ（ディードス）攻撃」に悪用される恐れもある。２４年末〜２５年初めに国内の航空会社や金融機関などに行われたＤＤｏＳ攻撃では、世界各地の３００超のＩｏＴ機器が乗っ取られ、データの送信拠点に使われた。

同機構ナショナルサイバーオブザベーションセンターの衛藤将史・研究センター長は「ＩｏＴ機器の所有者はＩＤやパスワードを確認し、容易に推測できる場合は変更するとともに、ソフトウェアを最新版に更新してほしい。メーカーのサポートが終了した機器は、買い替えを検討してほしい」と呼びかけている。

安全強化に本腰、経産省など認証制度

脆弱なＩｏＴ機器が多い状況を受け、国は安全性強化に本腰を入れている。

経済産業省と独立行政法人・情報処理推進機構（ＩＰＡ）は２０２５年３月、ＩｏＴ機器のセキュリティー対策の認証制度「ＪＣ―ＳＴＡＲ」を始めた。対策のレベルに応じて「★１〜４」の４段階が設定されている。

最低限の脅威に対応する「★１」は、▽推測可能な初期パスワードを設定しない▽脆弱性が見つかったソフトウェアは自動更新するか、簡単に更新できるようにする――など１６項目の適合基準を満たす必要がある。これまでに約１６０製品に「★１」が付与された。

より安全性が高い「★２」以上の適合基準については今後定める。

◆ＩｏＴ機器=インターネットにつながる機器の総称で、遠隔操作や情報収集などができる。防犯カメラやルーターのほか、テレビなどの家電製品にも広がっている。ＩｏＴはＩｎｔｅｒｎｅｔ ｏｆ Ｔｈｉｎｇｓ（モノのインターネット）の略。