2017年12月8日

脆弱なモノのインターネット

脅威 製品

「モノのインターネット(IoT)」とは、ネット接続型デバイス(コネクテッドデバイス)をひとまとめにした呼び名です。スマートウォッチ、コーヒーメーカー、掃除機、さらには自動車など、さまざまな「モノ」がIoTの一部となり、私たちはこうしたモノへの依存を深めています。少なくとも理屈の上では生活がもっと楽に、便利になるとされていることが、IoTの普及を促進しています。

反面、セキュリティの問題もあります。残念ながら、メーカーがインターネット接続型デバイスのセキュリティをあまり気にかけていないため、IoTデバイスのほとんどは脆弱性を抱えており、故に危険性を持ち合わせています。そこでKaspersky Labは、IoTに潜む脅威を調べてみました。

IoTは危険なのか?

まずは、IoTデバイスにどんな危険があるのかご説明しましょう。多くのIoTデバイスはセキュリティが甘く、すり抜けるのは簡単です。犯罪者にしてみれば、これほど都合のいいことはありません。IoTを標的とした悪意あるプログラムの数は今年、前年の2倍以上(英語)に増えました。世界中に広まったスマートデバイスの数は今や60億台にも及び、その多くが脆弱とあれば、犯罪者にとっては格好の標的です。

ハッキングされたIoTデバイスは、DDoS攻撃に悪用される恐れがあります。DDoS攻撃とは、大量のIoTデバイス(たとえばWi-Fiルーター)の処理能力を結集し、サーバーに大きな負荷をかけて停止させる攻撃です。たとえば1年ほど前、悪名高いMiraiボットネットが世界最大級のWebサービスをいくつもダウンさせる事例がありました。

ネット接続型デバイスを利用するのは、ボットネットだけではありません。たとえば、Webカメラをハッキングして、Webカメラの持ち主の様子を盗み見ることも可能です。IoTに聖域はなく、子ども用玩具も標的になり得ます。保護されていないBluetooth接続を悪用した人間が、ファービーやテディベアを通じて子どもに話しかける事例や、人形を利用して子どもの様子を盗み見る事例が確認されています。

単純に、IoTデバイスを壊して使えないようにする手口もあります。BrickerBotワーム(英語記事)がやったのは、まさにそれでした。攻撃されたデバイスは、ただのプラスチックと金属の塊になってしまいました。

敵を知る

Kaspersky Labでは、8つのスマートデバイスの脆弱性をチェックしました。対象とした商品は、スマート充電器、Webカメラを搭載しアプリで操作するおもちゃの車、スマートホームシステム向け送受信機、体重計、掃除機、アイロン(!)、カメラ、腕時計です。

結果は芳しくなく、8つのうち安全性が十分に確保されていたのは1つだけで、残りのデバイスの保護性能は不十分でした。多くのデバイスでは、簡単に破られるようなパスワードが既定となっていて、中にはパスワード変更ができないものもありました。このほか、機密情報を傍受できる状態になっているデバイスもありました。

調査したデバイスの中には、立派な「スパイ」の道具になり得るものもありました。スマートフォンアプリで操作する、Webカメラ内蔵のおもちゃの車です。スマートフォンへ接続するのにパスワードが要らないため、誰にでも操作できてしまいます。しかも、この動き回るおもちゃは音声と映像を記録できるので、持ち主の脅迫に使う情報を集めるのに利用される可能性があります。

IoTの世界で生きていくには

スマートデバイスを安全に使うヒントとして、以下を参考にしてください。

  • 購入前に、メリットとデメリットを比較しましょう。欲しいと思ったガジェットが過去に攻撃を受けたことがないか、ネットで調べてみてください。ハッキングに関するニュースが見つかるかもしれません。
  • 既定のパスワードは、必ず、複雑なパスワードに変更しましょう。パスワードを変更できないタイプのデバイスなら、本当にそれを買う必要があるかどうか、再検討してください。