2017 年 1 月 4 日 編集部記事

年末年始に手に入れた新しいガジェットを使う際には、ネットワーク接続したデバイスによってデータが盗まれる可能性を十分に考慮することが重要です。モノのインターネット (IoT) デバイスのセキュリティの不備が知られるようになったことで、ハッカーが多数の脆弱性を悪用し、簡単にデータを盗むことができるようになりました。デバイスによって危険性のレベルは異なるものの、このようなリスクが存在することを認識し、いくつかのセキュリティのベストプラクティスを理解することが、IoT デバイスへの攻撃を防ぐのに役立ちます。

昨年公開されたある記事に、いくつかのタイプの家庭用ハイテク機器とそれぞれのセキュリティ関連の問題がわかりやすく解説されていますので、以下にご紹介します。

• ウェブカメラ：サイバー犯罪者は、いくつかの脆弱性を悪用することで、ウェブカメラを使って密かに録画し、ライブ公開できることを発見しました。金銭を要求する攻撃ではありませんが、知らぬ間に侵入されて生活を覗き見される可能性があります。また、セキュリティ研究者によって、Skype や Google ハングアウトなどのサービスを使ったビデオチャットを密かに録音する方法も発見されています。これらのリスクの一部を軽減するには、更新プログラムをインストールしてシステムを常に最新の状態にし、使わない時はノートパソコンの内蔵ウェブカメラに目隠しをし、自宅のルーターや職場のネットワークで強力なセキュリティ対策を使用するようにします。
• スマートロック：今年の Black Hat で研究者が省電力 Bluetooth のスマートロック機能のハッキング実験を行い、16 のテスト対象のうち 12 のハッキングに成功しました。一部のスマートロックでは、研究者がデバイスのパスワードをリセットし、他の誰かがデバイスを開けないようにする方法が成功しました。製品の脆弱性の解決に取り組んでいるベンダーは少なく、スマートロックの多くのベンダーはその努力が不十分です。スマートロックを購入する際は、最高のセキュリティが保証されるブランドがどれかを事前に調査し、見極めるようにしてください。
• IP カメラ：半年前から、Mirai の巨大 IoT ボットネットやいくつかの大規模 DDoS 攻撃にこのデバイスが悪用された例が報告されています。デジタルビデオカメラには一般的に、ハッカーの標的になることが多い、単純な Linux オペレーティングシステムが採用されています。ある研究者によれば、自分のウェブカメラをリセットしてから 30 分も経たないうちにボットネットマルウェアに再び感染していたことがわかったということです。
• ホームオートメーション機器：Nest スマートサーモスタットのセキュリティ脆弱性により、使用者の自宅の場所を特定されたり、犯罪者にデバイスを制御されたりする可能性があることがわかりました。Nest は IoT デバイスとしては安全性の高いものではありますが、購入あるいは使用にあたっては、このようなリスクがあることを理解しておく必要があります。
• スマート電球：特定のオペレーティングシステムを使って接続される電球は、簡単にハッキングされ、ボットネット形成に悪用される可能性があります。Black Hat 2016 に参加した研究者は、電球から電球へと移動できる自己拡散型ワームを作成できる可能性を予測しました。
• Bluetooth 以外の方式の無線コンピュータアクセサリ：研究者が今年初めに実施したいくつかのメーカーの無線のマウスとキーボードを対象とする実験で、無線のマウスとドングルの間の暗号化されていないトラフィックをスニッフィングすることで、最長 100 メートル離れた場所からハッキングすることに成功しました。最終的には、この実験で、マウスが接続されているマシンとネットワークにアクセスすることもできました。新しい無線のマウスやキーボードを購入する前に、このようなリスクを理解し、安全で暗号化された Bluetooth 通信を使用するようにしてください。

ハイテク機器をプレゼントされた場合は、これらの脆弱性を理解し、上記のヒントを参考にして、潜在的セキュリティリスクを最小限にするようにしてください。ネットワーク接続するデバイスに共通する脆弱性に関する詳細と対策については、ウォッチガードの CTO、Corey Nachreiner による Dark Reading のコラム、「IoT メーカーがビデオゲーム業界から学ぶべき 7 つの教訓 (英文)」をお読みください。