はじめに

冷蔵庫、テレビ、エアコン、監視カメラ、ルーターなど、家庭内の機器は急速にネット接続を前提とするようになりました。便利さの裏側で目立ち始めたのが、こうしたIoT家電がサイバー攻撃の起点になる問題です。被害は端末の故障や個人情報流出にとどまらず、利用者が知らないうちに外部攻撃へ加担させられる段階まで広がっています。

背景にあるのは、攻撃者にとってIoT機器が「安価に大量確保できる計算資源」になっていることです。初期パスワードの放置、更新の打ち切り、脆弱性情報の周知不足が重なると、1台ごとの被害は小さく見えても、束ねれば強力なボットネットになります。本記事では、なぜIoT家電が狙われるのか、メーカー責任がなぜ重くなっているのか、そしてユーザーと企業が何を基準に防御を考えるべきかを整理します。

IoT家電が狙われる構造

初期設定の脆弱性

IoT家電が狙われやすい最大の理由は、攻撃の難度に対して得られる見返りが大きいことです。家庭向け機器は、パソコンやスマートフォンより長く使われる一方、利用者が設定画面を開く回数は少なく、セキュリティ更新の意識も高くありません。結果として、攻撃者は同じ脆弱性を多数の機器へ横展開しやすくなります。

NISTは消費者向けIoTの基準づくりで、機器ごとの一意な識別、設定変更のしやすさ、ソフトウエア更新、脆弱性開示、データ保護などを基本要件として整理しています。特に家庭用ルーターのような機器は、侵害されると通信の盗聴、認証情報の窃取、ほかの接続機器への攻撃中継まで起こり得ると位置付けています。つまり、1台の家電の問題ではなく、家庭内ネットワーク全体の信頼性が問われる論点です。

この構図は古典的なMirai系攻撃から一貫しています。初期設定のままの機器や既知の脆弱性を抱えた機器が探索され、感染後は外部の指令サーバーから一斉に操作されます。利用者が気づきにくいのは、機器が普段通り動いて見えるまま、裏でDDoS攻撃や不正通信に使われる場合が多いからです。

住宅回線の踏み台化

実例はすでに大規模です。米Lumen TechnologiesのBlack Lotus Labsは2024年3月、古い脆弱性を突く「TheMoon」系マルウエアで4万台超のボットが88カ国に分布していたと報告しました。特定のASUS製ルーター6,000台以上が72時間足らずで標的化された事例も確認されており、家庭や小規模事業所の通信回線が一気に踏み台化される危険を示しています。

さらに問題を複雑にしているのが、感染機器が単なるDDoS要員ではなく、住宅回線を装った「居住用プロキシ」として悪用される点です。米司法省は2024年9月、中国政府系ハッカー集団に使われたボットネットの無力化措置を公表し、20万台超の消費者向け機器が侵害されていたと説明しました。攻撃者は小規模オフィスや家庭のルーター、保存装置、カメラなどを束ね、正規利用に見える通信として活動を隠していました。

被害の射程は広告不正やアカウント乗っ取りにも広がります。HUMAN Securityは2025年3月、BADBOX 2.0で100万台超の端末が感染し、222の国・地域に広がっていたと公表しました。ピーク時には週50億件の不正広告リクエストが観測され、1,000近いゲーム・アプリ関連サイトが不正収益化に悪用されたといいます。FBIも同年6月、テレビ用ストリーミング端末、デジタルプロジェクター、車載情報端末、デジタルフォトフレームなどの家庭向け接続機器が、BADBOX 2.0による犯罪活動に使われていると警告しました。

ここで重要なのは、ユーザー本人が被害者であると同時に、第三者への攻撃インフラの一部に組み込まれてしまうことです。DDoS、認証情報探索、不正クリック、匿名通信の中継など、実際の攻撃対象は別にあり、家庭内機器はその途中に置かれるだけです。このため、感染に気づきにくく、メーカー側にも発見や封じ込めの責任が返ってきます。

メーカー責任が重くなる理由

被害の外部化と経営課題

IoT家電の脅威が厄介なのは、被害のコストが利用者だけで完結しない点です。1台のスマート家電が踏み台化されても、ユーザーは「少し遅い」「設定が不安定」としか感じないことがあります。しかし実際には、その背後で他社サービスへの攻撃、広告詐欺、認証回避、ブランド毀損が進みます。被害が外部化されるため、市場原理だけでは安全投資が不足しやすい構造です。

攻撃者の収益モデルもここにあります。世界最大級のIoT DDoSボットネットをめぐる2026年3月の米司法省発表では、300万台超の感染機器が世界中で使われ、数十万件の攻撃が実施され、一部の攻撃では恐喝目的の支払い要求も伴っていました。攻撃者にとって重要なのは、個々の家庭から小口で金銭を取ることではなく、止めたい理由を持つ企業やサービス側へ圧力をかけることです。ここから、家電ベンダーにとってもセキュリティ不備が顧客サポート費用では済まない経営課題になるわけです。

しかもIoT家電は、販売後に長く稼働するほどリスクが増えます。FBIは2025年5月、製造元のセキュリティ更新が終了した旧型ルーターがサイバー犯罪者のプロキシ網に組み込まれていると警告しました。ユーザーは「まだ使えるから」と継続利用しがちですが、メーカーが更新を止めた瞬間から、市場には脆弱な端末が積み上がります。サポート終了が事実上の供給網リスクになるということです。

このため、メーカーに問われる責任は、販売時の機能品質だけではありません。出荷時設定、更新のしやすさ、脆弱性報告の窓口、サポート期間の明示、更新終了後の告知方法まで含めたライフサイクル全体の設計が、製品価値の一部として見られるようになっています。

規制強化と調達基準

各国はすでに「善意の自主対応」から一歩進み、最低限の要件を法制化し始めています。英国ではPSTI法に基づく製品セキュリティ制度が2024年4月に始まり、共通初期パスワードの禁止、脆弱性報告手段の提供、最低セキュリティ更新期間の明示が義務になりました。どれも高度な暗号技術ではなく、まず運用の穴を塞ぐ発想です。

欧州連合でも、Cyber Resilience Actが2024年10月に採択され、デジタル要素を持つ製品に対して、設計段階からの安全確保、脆弱性対応、サプライチェーン全体を通じた管理を求める方向が明確になりました。対象はPCやソフトウエアだけではなく、接続家電や組み込み機器も含みます。今後は「つながる製品である以上、安全性の証明が必要」という考え方が標準になっていきます。

業界標準でも同じ流れです。ETSIは消費者向けIoTのセキュリティ指針として、共通デフォルトパスワードを使わないこと、脆弱性開示の仕組み、更新、保存データ保護、通信の保全、個人情報の扱いなどを基礎項目として示しています。NISTの基準とも整合的で、メーカーが国をまたいで製品を売るなら、これらを満たせない設計は調達段階で不利になります。

日本でも対応は始まりました。経済産業省は2025年3月、IoT製品向けのセキュリティ適合評価制度「JC-STAR」を開始しました。対象は特定の高級機器に限られず、IPネットワークに接続する幅広いIoT製品です。さらにIPAは同年5月、11社26件、477型番に対する適合ラベルを公表しました。今後は価格や機能に加え、「どの水準の安全性が確認されているか」が店頭や法人調達で比較される可能性が高まります。

企業とユーザーが取るべき防衛策

製品設計と運用管理

メーカー側で優先順位が高いのは、複雑な機能追加より、事故を起こしにくい初期設計です。具体的には、共通初期パスワードの廃止、初回設定時の変更強制、自動更新の既定化、脆弱性報告窓口の常設、サポート終了日と更新提供期間の明示が土台になります。ここを欠いたままAI機能やリモート操作機能を増やすと、利便性の拡大がそのまま攻撃面の拡大になります。

また、セキュリティは開発部門だけの責任に切り分けられません。問い合わせ窓口、回収判断、販売店への周知、法人顧客への通知、脆弱性公表のタイミングは、法務、広報、品質保証、営業が連携しなければ回りません。IoT家電は典型的な「売って終わりではない製品」であり、更新運用まで含めて経営管理の対象に入れる必要があります。

ユーザー側でもできることは明確です。第一に、ルーターや家電の初期パスワードを変更し、不要な遠隔管理機能を切ることです。第二に、購入前に更新期間や脆弱性対応方針を確認し、サポート終了が近い製品を避けることです。第三に、長く使う機器ほど、Wi-Fiのゲスト用ネットワークや専用セグメントへ分け、PCや業務端末と同じネットワークへ漫然と置かないことです。

調達判断と市場選別

今後の焦点は、セキュリティが「オプション」から「入札条件」へ移ることです。英国やEUの制度は、その国での販売条件を変えるだけでなく、日本企業の設計思想にも影響します。海外で売る製品と国内専用品で安全基準を分けるコストは高く、結局は全体の最低基準を引き上げる方向に働くからです。

ここでラベリング制度は効きます。消費者は暗号方式や脆弱性対応プロセスを細かく比較できませんが、最低限の適合を示す表示があれば選別が進みます。逆に言えば、ラベルの有無が将来の販路や法人採用を左右する可能性もあります。価格競争だけでなく、サポート年限と更新責任まで含めた競争に市場が移るなら、先に体制を整えたメーカーほど有利です。

クラウドフレアの2025年報告では、同年に観測されたDDoS攻撃は4,710万件に達しました。ネットワーク層攻撃だけでも3,440万件で、前年の1,140万件から大きく増えています。Mirai系を含むIoT由来の攻撃が完全に過去の問題ではない以上、メーカーもユーザーも「家庭用だから狙われにくい」という前提を捨てる必要があります。

注意点・展望

このテーマで誤解されやすいのは、IoT家電の脅威を「安い海外製品だけの問題」と見ることです。実際には、旧型ルーターの放置、販売後サポートの弱さ、脆弱性報告への反応の遅さがあれば、ブランドや価格帯を問わず危険は生じます。重要なのは製造国より、更新責任と開示責任が製品に組み込まれているかどうかです。

もう一つの注意点は、感染端末が必ずしも目立った不具合を起こさないことです。テレビが映り、カメラが録画でき、エアコンが動くなら、多くのユーザーは安全だと見なします。しかし攻撃者に必要なのは、表向き正常に見えるまま帯域やIPアドレスを借りることです。このため、可用性だけを見ても安全性は評価できません。

今後は、法規制、ラベル表示、法人調達基準が重なり、IoT家電の安全性が可視化される方向に進むはずです。メーカーにとってはコスト増に見えても、放置した場合の回収費用、問い合わせ対応、ブランド毀損、販路制限まで考えれば、むしろ必要な保険です。ユーザーにとっても、家電の購入基準は「価格」「省エネ」「デザイン」に加えて、「いつまで安全に更新されるか」が欠かせない時代に入りました。

まとめ

IoT家電は、便利な生活インフラであると同時に、攻撃者が大量に確保しやすい末端ノードでもあります。BADBOX 2.0やTheMoon、国家系ボットネットの事例が示すのは、家庭の機器が犯罪や攻撃の基盤へ組み込まれる現実です。ユーザーは知らないうちに加害側へ巻き込まれ、メーカーは設計責任と更新責任を問われます。

したがって、論点は「家電にもウイルス対策が必要だ」という一般論では終わりません。問われているのは、製品のライフサイクル全体を通じて安全を維持できるか、そして市場がその努力を選別できるかです。購入時には更新期間を確認し、メーカー側は出荷後対応まで含めた体制を整えることが、これからのIoT家電市場で最低限の競争条件になります。

参考資料:

• Home Internet-Connected Devices Facilitate Criminal Activity | FBI
• FBI Warns of Cyber Criminals Compromising End-of-Life Routers | FBI
• HUMAN Exposes BADBOX 2.0 Scheme | HUMAN Security
• The Dark Side of the Moon: The Rise in Router Infections | Lumen Technologies
• Court-Authorized Operation Disrupts Botnet Used by PRC State Hackers | U.S. Department of Justice
• Authorities Disrupt World’s Largest IoT DDoS Botnets | U.S. Department of Justice
• DDoS Threat Report for 2025 Q4 | Cloudflare
• ENISA Threat Landscape 2024 | ENISA
• Consumer IoT Cybersecurity | NIST
• Enhancing Cyber Security for Consumer IoT Devices | ETSI
• The UK Product Security and Telecommunications Infrastructure Product Security Regime | GOV.UK
• Cyber Resilience Act: Council Adopts New Law | Council of the EU
• IoT製品に対するセキュリティ適合性評価制度構築方針について | 経済産業省
• セキュリティ要件適合評価及びラベリング制度「JC-STAR」の運用を開始しました | IPA
• 「JC-STAR」適合ラベル取得製品リストを公開しました | IPA