お粗末なモノのインターネット

2015年2月27日

最近、IT業界関係者の間では、モノのインターネット(IoT)が大きな話題になっています。あれもこれも、インターネットに接続しようというのがIoTです。冷蔵庫も、コーヒーメーカーも、テレビも、電子レンジも、フィットネスバンドも、ドローンも、全部です。しかし、これは氷山の一角にすぎません。

ioct-featured

オンラインコミュニティ特有の傾向かもしれませんが、ことIoTとなると、家電製品ばかりがメディアの注目を集めています。しかし現実には、IoTの対象は家電製品にとどまりません。

ネット接続機能を搭載できそうな機器や、すでに搭載済みの機器は山のようにありますが、そもそもそれが本当に必要かどうかはあまり考えられていません。ネット接続型スマート家電のハッキングは非常に危険で、単純なPCのハッキングよりよほど恐い、とまで考える人はほとんどいないでしょう。

Kaspersky Daily(当ブログ)では、ネット接続型デバイスが予想以上に脆弱であることを、これまで何度も取り上げてきました。デイビッド・ヤコビー(David Jacoby)は、「自分のスマートホームをハッキングしてみたらびっくりするほど簡単だった」というエピソードを各地の情報セキュリティカンファレンスで披露していますが、そのたびに会場は笑いと称賛の嵐に包まれます。

Laconiclyのビリー・リオス(Billy Rios)氏が実演した洗車機のハッキングも、具体性のある好例でした。そう、大きなブラシが付いていて、泡が出てくる、あの洗車機です。最近の洗車機にはネットワーク接続するスマート制御システムが搭載されていて、これがリモートからのハッキングにつながる恐れがあります。

rios

ハッキングが成功すると、洗車機は完全に乗っ取られ、ハッカーの意のままとなってしまいます。たとえば、洗車機のオーナーのアカウントからは決済システムをはじめさまざまなツールにアクセスできますから、洗車サービスをただで利用することも可能でしょう。また、ゲートを操作して、洗車中の車を洗車機の中に閉じ込めることもできるかもしれません。洗車機や車が壊される可能性もあります。洗車設備には、可動部品や強力なエンジンが備え付けられていますから。

他には何をハッキングできるのでしょうか?そう、思いつく限りどんなものでも!たとえば、Security Analyst Summit 2015(SAS 2015)では、Kaspersky Labのエキスパートであるバシリス・ヒオレアス(Vasilis Hioureas)が、警察の監視システムをハッキングできたと報告しました。警察は、ビームアンテナが十分に安全な通信手段であることを期待していたのですが…

警察が自らのネットワークや機器へのハッキングを防げないほどだとしたら、ガジェットメーカーがそれ以上に不用心であることは言うまでもありません。同じくKaspersky Labのエキスパートのロマン・ウヌチェク(Roman Unuchek)は、SAS 2015でフィットネスバンドのハッキングを実演しました。比較的単純な細工をいくつか施すだけで、フィットネスバンドに接続し、持ち主の居場所に関する情報をダウンロードできるのです。

問題は、ネット接続型の家電製品を開発するメーカーが、まったく新しい世界に直面していながら、その世界について何一つ知らないことです。言ってみれば、経験豊富なバスケットボール選手が本物のグランドマスターとチェスで対戦するようなもの。メーカー各社はいずれ、自分たちの置かれた状況に気付くでしょう。

ネット接続型デバイスの利用者に関しては、さらにひどい状況です。利用者はセキュリティのことなどまったく気にかけません。ふつうの人からみれば、ネット接続型の電子レンジも単なる電子レンジにすぎないのです。実際は機能満載のネット接続型コンピューターであり、現実世界に影響を及ぼす手段を備えているとは、夢にも思わないでしょう。

遅かれ早かれ、悪影響が出るかもしれません。ネット接続社会が利用者とメーカーの両方に突きつける難題を考えれば、メーカーは自社製品のセキュリティについて相応の対策をスタートさせる必要があります。利用者の皆さんには、あまりに「スマート」過ぎるネット接続技術の利用は控えることをお勧めします。