日々の生活を送る家庭にIoTが浸透してきています。家電がインターネットに接続することで多くの利便性をもたらすと同時に、外部から不正アクセスされる危険性も忍び寄ってきています。残念ながら、まだ多くの人々が後者の危険性を強く意識していません。
家電への不正アクセスというと、2016年10月に起きた大規模なDDoS攻撃を思い浮かべる方もいるでしょう。パスワードが工場出荷時のままなど、セキュリティ対策が十分にとられていないIoTデバイスが大量にMirai(マルウェア)に感染し、DoS攻撃の踏み台に使われました。しかし今回は気づかないうちに実行される、個別の攻撃についての危険性について考えます。
あるとき、Amazon.comのカスタマーレビュー欄に驚くべき内容が投稿され、波紋が広がりました。対象となる製品はHoneywell Wi-Fi thermostat。家庭で使われるエアコンを制御するIoTデバイスです。ネットワークに接続できるため、家庭内だけではなく出先のスマートフォンからもエアコンの操作または室温の監視ができるようになっています。
この製品のカスタマーレビューに投稿したのは、ある離婚した男性でした。元妻が新しいパートナーと住んでいる住居にこのサーモスタットがあり、かつての夫だったこの男性はまだ外部から操作できる状態でした。そのため、この男性は元妻が不在中にエアコンを密かに操作していたのです。冬なら留守中に高温にして、帰宅前に下げるなどです。男性はそうした行為をカスタマーレビュー欄で告白し、「彼らの電気代請求書が高額になるのを想像すると、笑いがこみあげてくる。こんなことはいつまでも続かないと分かっているけど、ログインするたびにまだ操作できると分かるとうれしくなる」と綴っていました。
元妻は元夫が外部から操作できないように、サーモスタットにログインするためのパスワードを変更するべきでした。それさえすれば、元夫に不正操作されるのを防ぐことができるのです。
ここでの被害は電気代が不当につり上げられるというものでしたが、IoT家電が増えると元身内からのいたずらも含め、外部からの攻撃に警戒しなくてはなりません。
家庭で普及しつつある家電で、実際にハックされる可能性があるものには何があるでしょうか。まず先述したように、監視カメラは要注意です。子どもやペットの見守りのために設置する監視カメラは第三者が盗み見している可能性があります。パスワードは必ず変更しておきましょう。
意外なところでコーヒーメーカーがあります。コーヒーメーカーがハックされたところで、室内を見られるわけではなく、せいぜい家族の好みのコーヒーが何か、何時にコーヒーを飲むのかを知られる程度だと思えるかもしれません。ところが、です。あるIoTコーヒーメーカーは家庭のWi-Fiに接続するためのパスワードを露呈していました。
他にも意外な盲点として、ホームセキュリティがあります。ホームセキュリティは窓やドアにセンサーを設置して不正侵入を検知します。このセンサーには磁石が埋め込まれており、そこに磁石を使うことで不正検知を防ぐことができる場合があります。詳しくはカスペルスキーラボが発見した脅威(
https://www.expresscomputer.in/news/surviving-in-the-iot-world-risks-of-smart-home-devices/14498/)を参考にしてください。
IoT家電を使う上で、やるべきセキュリティ対策には何があるでしょうか。多くの専門家が指摘しているポイントには次のようなものがあります。
ファームウェアやソフトウェアは常に最新版に
出荷後や脆弱性が発見された後、製品ベンダーはセキュリティを改善したファームウェアやソフトウェアをリリースすることがあります。脅威は常に移り変わるので、常に最新版のファームウェアやソフトウェアとなるように更新しておくようにしましょう。
デバイスがインターネットに接続する必要があるか確認する
インターネットに接続することで便利な機能を提供するデバイスが多種多様に登場しています。しかしその機能は本当に必要でしょうか。本当にインターネットに接続する必要があるでしょうか。インターネットに接続する必要がなければ、接続する機能をオフにしましょう。それだけでも無用なリスクを避けることができます。
成熟した製品を選ぶ
出荷されたばかりの製品だと、セキュリティ上の弱点がまだ発見されていないこともあります。市場に出てからある程度の期間や実績があるものを選びましょう。
定期的にインターネットに接続するデバイスを棚卸しする
購入当初は必要性があったとしても、次第に不必要になり存在自体も忘れられてしまうデバイスもあります。管理者や利用者が不明になると、アップデートなど保守が疎かになりセキュリティ上の抜け穴になることもあります。定期的に保守が正しく行われているか、必要性も含めて確認しましょう。
不正侵入を受けたらデバイスをネットワークから切り離し、電源は切らない
不正な通信が発覚するなど不正侵入を受けたら、どんなデバイスであろうとも被害の拡大を防ぐため、直ちにネットワークから切り離してください。有線接続しているならネットワークケーブルを外す、Wi-Fi接続なら電波を遮断できるような冷蔵庫のような箱に入れるのが手早く効果的です。アルミホイルで何重に包むだけでも電波の遮断には有効です。またファイルレス攻撃のように電源を切ると証拠が消えるものがあるので、後の解析を考えると、できれば電源は切らないでおくほうが望ましいです。
脅威はあらゆる可能性が考えられますが、上記のポイントを押さえておけば、IoT家電を通じて何らかの被害に遭う可能性を大きく下げることができるでしょう。
原文はこちら