2025年9月末、日経新聞が取材を元に「STB（Set Top Box）」が証券口座の乗っ取りに利用されたと報じた。STBは、ケーブルテレビやホテルのテレビなどに利用される受信機で、「テレビの受信機が乗っ取られる」事件としてちょっとした騒ぎとなった。
【写真を見る】偏光フィルターで隠しカメラを発見できる装置
狙われたのは「スマートTV」だった
家電製品やSTBのような生活に溶け込んだ機器が狙われるのは珍しいことではないが、報道を受けてケーブルテレビ各社、STBメーカー、日本ケーブルテレビ連盟などが「自社製品、サービスは対策されており、被害は確認されていない」といった声明を発表している。
実際、攻撃を受けたのは一般的なケーブルテレビ契約で設置されるSTBではなく、スマートTVやチューナーレスTVなどと呼ばれる製品だった。スマートTVとは、オンデマンド配信やストリーム配信専用の「テレビ」であり、中身はスマートフォンやタブレット、PCに近い。
形状は大型テレビと同じだが、本体のみを小さな箱として販売し、ディスプレイは自宅のテレビやPCモニターに接続するタイプも存在する。今回の事件で利用されたのはこのタイプのようだ。
PCやスマートフォン以外の製品でインターネット接続が可能なものをIoT機器という。ルーターなどのネットワーク機器、FAX・プリンターの複合機、エアコンや冷蔵庫などの家電、自動販売機やデジタルサイネージ、最近では自動車もIoT機器に分類される。
つまり「テレビ受信機による口座乗っ取り」は、古くからあるIoT機器へのサイバー攻撃ということになる。IoT機器へのサイバー攻撃で身近な例は、Webカメラを踏み台とした大規模なDDoS攻撃を行うというものだ。
世界中に点在する監視カメラを乗っ取ること（ボット化）で、大量の妨害トラフィックを発生させることができる。2016年にはSNSやECサイトに世界的な規模で被害が発生した「Miraiボットネット」の事例がある。
証券口座乗っ取りの事件でも、STB（スマートTV）は、証券会社システムへの踏み台として利用された。サイバー攻撃対策が進む証券会社のサイトに対して、家庭のスマートTVからのアクセスなら正規利用者のアクセスを偽装しやすかったからだ。あまりメジャーではないスマートTVからのアクセスは対策が行き届いていないことも狙われた理由だろう。
いまやIoTという言葉が必要ないくらい、インターネットに接続していないものを見つけるほうが困難だ。つまり、サイバー攻撃の対象が現実の世界に遍在していて、いつ攻撃にあってもおかしくない状況にある。