令和8年度 ITパスポート試験 公開問題 問55 解説 IoTのセキュリティ

この問題は、セキュリティの脅威の種類と、それに対する具体的な防御策を組み合わせることで解くことができます。「盗み見（情報漏えい）」という被害を防ぐためには、そもそも他人がシステムに入り込むことを防ぐ「不正侵入対策」が必要です。そして、その代表的な対策として、機器出荷時の設定である「初期パスワード」を使い続けないことが鉄則となります。

不正侵入とDDoS攻撃の違い

まず、aに入れるべき用語を検討します。 問題文にある「画像を盗み見される」という被害は、攻撃者がカメラを勝手に操作したり、映像データにアクセスしたりすることで発生します。これは、攻撃者が権限のないシステムへ潜り込む「不正侵入」の典型的な例です。

対して、選択肢にある「DDoS攻撃（分散型サービス拒否攻撃）」は、特定のサーバーやネットワークに対して大量のデータを送りつけ、システムをダウンさせる攻撃です。これは「サービスを利用できなくする」攻撃であり、今回の「こっそり中身を見る」という目的とは異なります。したがって、aには不正侵入が入ります。

なぜ初期パスワードを使ってはいけないのか

次に、bに入れるべき用語を検討します。 多くのIoT機器には、初期設定としてメーカーが決めた共通のユーザー名とパスワードが設定されています。攻撃者は、インターネット上で公開されているこれらの情報を手元にリスト化しており、片っ端から試すことで簡単に不正ログインを試みます。

「初期パスワードをそのまま使う」ということは、鍵のかかっていない玄関に「どうぞお入りください」と看板を出しているようなものです。そのため、機器を購入したらすぐに推測されにくい複雑なパスワードに変更することが、IoTセキュリティの第一歩となります。

IoT機器のセキュリティを考える意義

ITパスポート試験でこの問題が出題される背景には、近年、防犯カメラやルーターなどのIoT機器が、セキュリティ対策不足を突かれてサイバー攻撃の踏み台にされる事例が多発しているという社会情勢があります。

特に、インターネットに直接つながるカメラなどは、世界中からアクセス可能な状態にあります。専門的な知識がなくても、簡単な設定を見直すだけで防げる被害は非常に多いです。技術的な対策だけでなく、機器を利用する側の「設定変更を行う」という運用上の意識が、個人のプライバシーや組織の情報資産を守るために非常に重要です。

参考リンク

• IoT機器を安全に利用するために（IPA 独立行政法人 情報処理推進機構）
• IoT機器のパスワード設定に関する注意喚起（総務省）
• 情報セキュリティの脅威と対策（情報セキュリティ用語辞典：＠IT）