IoTデバイスにもたらされた危機

オリビア・ゴードン氏:2016年10月のある金曜日に、広範囲のインターネットが機能停止してしまいました。「Dyn」という、TwitterやNetflixなどたくさんのサイトのデータ通信を担うインターネット会社が、無数のコンピューターから送られた偽のリクエストにより麻痺状態に陥ったのです。

これらのコンピューターは「Mirai」という有害ソフトウェアに感染していました。感染したコンピューターは旧式のものではありませんでした。多くはウェブカメラやスマート電球、フィットネス計測器といった日常のインターネット・デバイスでした。いわゆるIoTと呼ばれるものです。

これらの新しい装置は、Wi-Fi経由でドアベルに玄関を開けさせるような利便性の一方で、サイバー犯罪の機会も増やしました。では自宅のスマートトースターをどのくらい警戒すべきなのでしょうか? これら装置の安全性を高めるにはどうしたらいいのでしょうか?

IoT機器は、通常のコンピューターと同じようにスキが多く、一方で現実世界に与える影響はずっと大きいのです。例えば、あなたの自宅の愛犬観察モニターがハックされれば、あなたのプライベートがさらされてしまいます。

あなたのお家のレイアウトや家族の写真などがすべて覗かれてしまいます。あるいは、お子さんの喋るテディベアを操って、何かを喋らせることも可能でしょう。

そんなことが起こったら気味が悪いですよね。さらに怖いのは、テディベアではなく、車やセキュリティシステム、ピースメーカーなどがハックされた場合です。

ハッカーの手口

危険なのはハックされた機器だけではありません。自宅のWi-Fiに繋がっているすべてのデバイスがリスクにさらされます。もしあなたのスマート水筒が感染に弱ければ、そこから指令を飛ばし、お家のドアを開けてしまうことだって可能です。

各個人に及ぶ重大なリスクもあります。ハッカーの手口に多いのは、機器を遠隔操作して悪用するパターンです。自宅の機器がハッカーたちの従順なドローンと化すのです。こうしてハッカーは影に隠れて、悪事を働くことができます。

2014年には、テレビやルーター、スマート冷蔵庫が遠隔操作され、大量のスパムメールが送信される事件が起きました。「Mirai」などの有害ソフトウェアによって、「Dyn」らの会社にデータ通信が殺到するような、分散型DoS攻撃によってウェブサービスを壊滅状態にできます。

例えば、大量の自動ダイヤル装置の通話を薬局に殺到させると、回線がパンクしてしまい、実際の薬局への通話が届かないことが起きてしまいます。

これはIoT機器に限った問題ではありませんが、IoT機器はとくに付け入るスキが多いのです。

各メーカーは、できるだけ早く、そして安く、IoT機器を市場に送りこんでいます。そのためにセキュリティが疎かになりがちです。多くの企業は、既製のソフトウェアをそのまま流用しているのです。

例えば、スマート電球は印刷ソフトウェアを必要としませんので、メーカーはその機能をOSから削除してしまう可能性があります。そうすると、ハッカーがコードに働きかけ、不法なプログラム操作をしやすくなります。

また、こういったスマートデバイスは自動でアップデートしないケースが多いのですが、わざわざ手動でスイッチを押して「アップデートが完了するまでお待ちください」なんて作業をするのは手間ですよね。そうすると、セキュリィバグのアップデートがあっても、対応できないまま放置することになります。

加えて、OSはログイン設定を変更してはじめて安全に使用できるものですが、メーカーはIoT機器のパスワードを“admin1234”のような単純なデフォルト設定にしていることが多いです。でも、わざわざ卵のトレーのパスワードを変更する人は多くはありませんよね。

さらに、こういった機器のメモリーは非常に小さく、ファイアーウォールのような標準レベルのセキュリィ機能は持っていません。

それにダイエット用のスマートフォークが、通信系のウィルスに感染していたとして、誰が異常に気づけるでしょうか? そうしてIoT機器の被害は拡大していくのです。「Mirai」の被害が拡大してきたのは、それだけセキュリィの脆弱なIoT機器が存在するということです。

ハッキングから身を守るために

ここまで話してきて、ひどく不安を煽っているかもしれません。現状で一般ユーザーがもっとも気をつけるべきは、ありふれたデータの盗難でしょう。

ただ、素人の愛好家レベルでは、ハックするのは容易なことではありませんので、ハイリスク・ローリターンの割の合わない犯罪になってしまいます。それでも誰かがあなたの血糖値測定器を執拗にハックしようとしてきたなら、そのときはIoTのセキュリィよりも、何か別の心配をしたほうがいいでしょう。

とはいえ、あなたが休暇で留守の間に、ハッカーがスマート・サーモスタットを操って空調を全開にし、光熱費がとんでもない額になる、なんていうことが起きる時代になるのです。

もしメーカーが製品のセキリュティ対策を怠るなら、大惨事を引き起こすことにもなるでしょう。そうならないための専門家のソリューションとして、データの取り扱いは慎重に行うことや、データの暗号化などがあります。

メーカーがデフォルトのパスワードをより難解な設定にして、ログインしている人間のみが指令を出せるようにするのもいいでしょう。自動のモニタリングシステムを起動させるのもハック対策になります。

また、あなた自身がメーカーのウェブサイトを頻繁にチェックして、アップデートやパスワードの変更を設定することもセキュリィになります。また、無用なウェブカメラをそこらに放置するのはやめたほうがいいでしょう。

スマートデバイスのネット接続を、パソコンや携帯電話など日常で使うWi-Fiネットワークから切り離すのも効果的です。別々のルーターを使用するのがオススメです。

それからヘアーブラシに本当にネット接続が必要なのかどうか、もう一度よく考えてみましょう。極論ですが、ネットに繋がなければリスクは避けられるのです。

メーカーの方々には、消費者に最先端の機能を提供するのと同時に、安全性も担保するよう努力していただきたいですね。

Published at