本記事はキヤノンマーケティングジャパンが提供する「マルウェア情報局」に掲載された「利便性の裏で見失われがちなIoTデバイスのセキュリティ」を再編集したものです。
IoTデバイスは私たちの生活をより便利なものにしてくれるツールの一つ。しかし、その利用にあたって、プライバシーやセキュリティのことを忘れてはならない。IoTデバイスのセキュリティについて考察していく。
この記事は、ESETが運営するマルウェアやセキュリティに関する情報サイト「Welivesecurity」の記事を翻訳したものである。
私たちは常に世界とつながっている。スマートドアベルがあれば、誰が来たのかをスマートフォン(以下、スマホ)で確認可能だ。スマートウォッチで子どもの現在地を追跡でき、フィットネストラッカーでの健康管理も簡単にできる。IoT(モノのインターネット)革命によって、スマートケトル、スマート洗濯機、スマート冷蔵庫などさまざまなスマート家電が私たちの家庭に普及している。
IoT家電があれば生活は便利になるが、セキュリティが強固になるわけではないことに注意が必要だ。スマホでほとんどの家電を操作できるのは便利なものの、購入した製品は適切に安全性を確保できているのだろうか? そこでプライバシー侵害の恐れがあるIoTデバイスをいくつか紹介しよう。
キッズ向けスマートウォッチ
親にとってまず大切なのは子どもの安全だ。デジタル化が進む今、追跡機能を備えたスマートウォッチで子どもの居場所を確認したいという親もいるだろう。子どもが遊びに出かけたときに現在地をチェック、あるいは必要であれば連絡することも可能だ。しかし、すべてが優れた製品とは限らない。名も知れないベンダーのスマートウォッチを購入しようと思っているなら、あらかじめ十分に調べておく必要がある。
もしかしたらベンダーのサーバーが重大なセキュリティホールを抱えている可能性もある。そのような場合、子どもを守るどころか危険に晒してしまいかねない。あるスマートウォッチメーカーでは、サーバーのセキュリティが甘かったために、5,000人超の子どもの個人情報(位置、電話番号、写真、会話)へ不正アクセスできてしまう状態だった。これは決して特殊なケースではない。以前から子ども向けのスマートウォッチはプライバシー侵害の懸念があり、実際に欧州委員会がリコールを命じたケースもある。
スマートドアベル
スマートドアベルとスマートロックを連携させれば、ベッドやソファから起き上がらなくても、訪問者の確認や玄関の開閉が可能であり、スマホで確認するだけで済む。便利さに加え、玄関先の様子を逐一記録できるドアベルは安全性も高い。少々値が張っても、利用する価値はあるだろう。
家族の安全を守ろうとするのは当然だが、スマートドアベルの購入にあたっては事前に入念な調査をしておきたい。ある調査ではスマートベルの不自然な行動が報告された。そのスマートドアベルは、玄関先で人が動く度にスナップショットをサーバーにアップロードしていたのだ。スマートドアベルの機能からすれば、その行為は自然な振る舞いだと考える人も少なくないだろう。しかし不思議なことに、アップロードされたスナップショットにユーザーがアクセスする方法やその場所を知る手立ては用意されていなかった。盗撮の被害を未然に防ぐためにも、購入する際にはドアベルを徹底的に調べる必要があるだろう。
格安のスマートセキュリティカメラ
セキュリティの話を続けよう。IoTデバイスとしてスマートセキュリティカメラも人気がある。自宅やオフィス内外の様子を確認できるため、購入する個人や中小企業が増えている。IoTデバイスはインターネットで接続されているため、その接続とデータの保護は重要だ。もしサイバー攻撃者があなたのデバイスをハッキングして、リモートアクセスできる状態なら、直接的に攻撃を仕掛けてくるだろう。最悪のシナリオだが、起こり得る話だ。
残念ながら、家族や財産を守るための安いIPカメラは、攻撃者に最も狙われやすいデバイスだ。どれも同じような工程で製造されているため、同じ脆弱性を抱えている。脆弱性だけでなく製品そのもののバグも問題だ。シャオミ社製のカメラでは、潜んでいたバグにより他人の自宅映像が表示されてしまうというインシデントも過去に発生していた。
スマートホームハブ
スマートホームハブは、コネクテッドホームデバイスの中心となるものだ。例えると、全体を管理するための中枢部といえる。その配下にあるすべてのIoTデバイス(セキュリティカメラ、スマートドアベル、照明、他のスマートデバイス)を一元管理し、どこからでも制御できてしまう。スマートハブを使えば、スマートホームだけでなくビジネス環境も監視し、制御できる。
これがどのような問題を引き起こすのか、すでにおわかりかもしれない。サイバー攻撃者によって脆弱性が発見され悪用された場合、システム配下のデバイスや機密データすべてへのアクセスを許してしまうのだ。ESET IoT Researchによると、3つのハブに多数の深刻な脆弱性が見つかった。中にはシステムが攻撃を受けやすくなるような脆弱性も確認された。
まとめ
暮らしを便利、快適にするためにIoTデバイスを購入する場合、以下の点に注意してもらいたい。
- IoTデバイスの購入前には、必ず入念な調査を行うこと。購入する製品の情報を入手し、ユーザーレビューを読むなど、信頼性を確認してほしい。「セキュリティ上の脆弱性」とブランド名やモデル名をかけあわせてGoogleで検索し、問題があったなら解決済みなのか、すでに影響がない状態になっているのか確認しよう。
- データを保護する方法やアップロード先を確認できなければ、名も知れないベンダーのデバイスを購入することは推奨されない。値段で判断し、出し惜しみすると、データが盗まれるなど結果的に高いコストがかかってしまう可能性がある。
デバイス購入後は、常にファームウェアを最新バージョンにアップデートすること。パッチはデバイスのセキュリティを向上させるため、リリースされたら速やかにインストールしてほしい。インストールを怠れば、攻撃者が脆弱性を悪用し、デバイスにアクセスする恐れがある。
[引用・出典元]These things may be cool, but are they safe? by Amer Owaida 20 May 2020 - 11:30AMhttps://www.welivesecurity.com/2020/05/20/these-things-may-be-cool-but-are-they-safe/