近年、モノのインターネット(IoT)が普及したことによって、私たちの暮らし方、働き方、遊び方が変わってきています。IoTデバイスの例として、歩数と心拍数を記録するフィットネストラッカーが挙げられます。私たちが普段運転している自動車の中にもIoTデバイスが見つかるかもしれません。 しかしながら、音声起動のスマートスピーカーやインターネットに接続されたベビーモニターのような家庭の中で増えていく電化製品において他のどこよりも多くのIoTデバイスを目にすることでしょう。
2019年には、142億個もの接続された「モノ」が世界的に利用されていると推定されています。この数字は、数年以内に250億個に達すると考えられています。しかしながら、この「モノ」には1つだけ問題があります。適切に保護されていない場合、そのようなIoTデバイスがサイバー空間における玄関口となり、スマートホームに侵入する新たな機会をハッカーに与えてしまう可能性があるということです。
それでは、どのような脅威があるのでしょうか?また、どのようにしてその脅威からあなたの家を守ることができるのでしょうか?本記事では、普段私たちの身近で使われているスマートデバイスに関して、私たち自身でできるセキュリティ対策について解説します。
■IoTのセキュリティ脅威に対する政府の対応
消費者の家庭がますます多くのスマートガジェットで溢れていくにつれて、サイバー攻撃のリスクも高まるということを各国政府が認識していることを示すいくつかの良いニュースがあります。米国の場合、新しい法律を制定するという方法で、カリフォルニア州がセキュリティ対策を先導しています。この法律は、製造業者に製品のセキュリティの改善を強制することを目的としています。 例えば、同州の上院法案「SB-327」では、最初に接続する際に各ユーザに固有のデバイスパスワードの設定を強制するなど、最低限のセキュリティに関する要件が導入されています。
連邦政府もこのようなカルフォルニア州の動きに続いています。 2019年3月に提出され、2大政党の支持を受けている法案「 Internet of Things (IoT) Cybersecurity Improvement Act of 2019」は、すべてのIoTデバイス製造業者ではなく、政府に対して製品を販売する製造業者のみを対象としています。しかし、この法律がより広い業界に影響を及ぼし、他の製造業者に対して製品のセキュリティ基準の引き上げを促すことが期待されています。
IoTデバイスのユーザを保護する動きを見せているのは米国だけではありません。英国は、2019年5月、独自のパスワードやセキュリティの更新など、製造業者が主要なセキュリティ要件を遵守するよう強制することを目的とした新しい法案を提出しました。前述したセキュリティ要件に加え、小売業者には、販売するデバイスがセキュリティ上どの程度安全であるかを消費者に伝える明確なラベルの表示が義務付けられるようになります。
スマートホーム製品の安全性を高めるための政府の取り組みは、どのようなものであれ歓迎されるべきです。しかし、実際には、これらの法律が施行されるまでにはしばらく時間がかかり、IoTデバイスを設計および製造する企業に影響がおよぶにはさらに長い時間を要します。例えば、米国の連邦政府調達の場合、初めの段階として別の標準化団体が要件をまとめる必要がありますが、これには数カ月かかります。また、新しい法律が施行されたとしても、ハッカーが単に法律で定められていない新しい手口を利用するようになるかもしれないというリスクもあります。
だからこそ、スマートホームを守るために消費者自身が今すぐ行動する必要があります。以下では、いくつかの主な脅威とその対処方法を示しています。
■IoTの問題点とは?
家庭の中にあるスマートデバイスが多いほど、潜在的にハッカーに狙われるデバイスの数も増加します。 攻撃者が、スマート製品を保護しているパスワードを推測または解読したり、それらの製品を動作させているソフトウェア(ファームウェア)の欠陥を悪用したりすると、デバイスが乗っ取られる可能性があります。
一部のデバイスではユーザがパスワードを設定する必要がなく、そのことがデバイスを簡単に乗っ取られてしまう一因となっています。具体的には、容易に推測可能な工場出荷時の初期設定のパスワードがそのまま使用されている場合があります。また、多くの製造業者は更新プログラムまたは修正プログラムを定期的に公開していません。あるいは、もし公開していても、ユーザが自主的にその情報を見つけてインストールするのは簡単ではありません。そして、個人が所有するラップトップ/デスクトップPCやモバイルデバイスとは異なり、IoTデバイスは、通常、アンチウイルスソフトウェアをインストールするには小さすぎるため、それらのデバイスを更なる脅威に晒してしまう可能性があります。
さらに、危険に晒されているのはデバイス本体のみではありません。デバイスが使われるその背後においてデバイス同士を結び付ける、複雑なIoT環境の自動化システムも脅威に晒されています。 この複雑さは、悪者が悪用するのに十分な脅威を生み出します。
以下は、ホームネットワークが直面する主な3つの脅威です。
1.物理的脅威
デバイスは、住人を監視する目的で攻撃者によって遠隔から操作される恐れがあります。例えば、スマートセキュリティカメラや、ドアや窓のスマートロックのような家の周りの他のセンサーからの通信を乗っ取ることで、自宅が留守の際に盗難に遭うことが考えられます。 また、ドアや窓がインターネットに接続されている場合は、遠隔からドアや窓のロックを解除することもできます。具体的には、家主の声を複製したり、ホームアシスタントを介してコマンドを実行するなどの手口が挙げられます。
過去には、ハッカーがスマートホームを遠隔監視していた事例が報告されています。 ある事例では、ベビーモニターがハッキングされ両親を脅すために利用されました。より被害の大きな別の事例では、家庭用防犯カメラがハッキングされ、防犯カメラの映像がオンラインでストリーミングされました。
2.情報漏えいとマルウェアの脅威
上述したスマートデバイスは、ホームネットワークへの潜在的な侵入経路にもなります。これにより、銀行や電子メールなどの主要なオンラインアカウントのパスワードの取得をハッカーに許してしまう可能性があります。 活動を通して収集した情報はすべて闇ウェブ(ダークウェブ)上で販売され、なりすましなどの詐欺に利用される可能性があります。すべてのトラフィックが通過するルータは、インターネットからスマートホームネットワークへの入口です。そのため、ルータはホームネットワークへの侵入を試みる攻撃の格好の標的となっています。このようなデバイスは、他のネットワークと繋ぐゲートウェイを狙う攻撃に対して脆弱となります。さらに、ハッカーは情報の窃取だけでなく、ランサムウェアやバンキングトロジャンなどのマルウェアの拡散を狙う場合もあります。
一例として、2018年に確認された主要なルータの脅威の1つ「VPNFilter」が挙げられます。情報を窃取するこのマルウェアは、デバイスの脆弱性を利用して、2018年5月の時点で、世界中で少なくとも50万台のルータに感染していました。
3.乗っ取られたデバイスがボットネットの一部とされる脅威
上述した2つと異なるシナリオでは、乗っ取られたスマートデバイスはランサムウェアのインストールや情報窃取のためではなく、別のユーザに対する攻撃などに利用されます。このような攻撃では、通常、乗っ取られたデバイスはハッカーの命令を聞くようにプログラムされたボットネットの一部とされてしまいます。このような攻撃は、企業を標的としたサービス拒否(Denial of Service、DoS)攻撃から、仮想通貨の違法な発掘にまで及ぶ可能性があります。
この種の攻撃において最も有名な事例として、2016年のMiraiによる活動が挙げられます。この事例において、Miraiは、インターネットに露出した工場出荷時の初期設定パスワードによってのみ保護されているデバイスをスキャンすることによって、数十万台ものIoTデバイスを乗っ取ることに成功しました。 また別の悪名高い事例では、Miraiが主要なオンラインサービスプロバイダへの攻撃に成功し、その結果としてTwitterやNetflixを含むいくつかの大手Webサイトが機能停止となりました。
■被害に遭わないためには
以上を踏まえて、IoTの脅威に晒されるリスクを減らすために今日から個人でできる簡単な方法を紹介します。まずは、自分のデバイスの仕組みを理解するための時間を設けることから始めましょう。デバイスはパスワードで保護されていますか?それらのデバイスのソフトウェアはどのようにして更新されるのでしょうか?攻撃者にデバイスが狙われる可能性を作り出してしまうかもしれない不要なサービスを実行していませんか?デバイスを購入してネットワークに接続する前に、ちょっとした調査を行うこともまた、自分のデバイスを保護するのに大いに役立ちます。
これらのセキュリティ対策を始めるために、以下のベストプラクティスを講じることを推奨します。
- 工場出荷時のままとなっている初期設定のパスワードを、強力でユニークな認証情報に変更すること
- 利用可能な場合、ログイン保護をさらに強化するために2要素認証を有効化すること
- ファームウェアの更新を定期的に確認し、更新プログラムが入手可能になり次第すぐに適用すること。そのために、製造元のWebサイトを随時確認すること
- Wi-Fi上の通信を暗号化するためにルータでWPA2を使用すること
- 使用していない場合、UPnPとすべての遠隔管理機能を無効にすること
- ルータにゲストネットワークを設定すること。これにより、メインネットワークとそこに接続されたデバイス、およびデータを、ゲストが持つデバイスを通して意図せず侵入したワームやその他のマルウェアから保護することが可能です
- コンピュータとスマートフォンをアンチウイルスソフトで保護し、正規のスマートホームアプリのみをダウンロードすること
■トレンドマイクロの対策
トレンドマイクロはスマートホームを安心して利用できるように保護するという点において、利用者に確かなセキュリティ対策を提供します。スマートホーム保護のための初めの一歩はセキュリティ診断を行うことです。弊社が提供する「オンラインスキャン for Home Network」は、家庭内のネットワークにセキュリティ上のリスクが存在しないかをチェックできる無料ツールです。
トレンドマイクロの「Trend Micro Smart Home Network™」を搭載したルータや、家庭用ルータを中心に構成されるホームネットワークを保護する「ウイルスバスター for Home Network」では、トレンドマイクロがクラウド上に保有するWebレピュテーションデータベースと連携し、フィッシング詐欺サイトやウイルスの配布サイトなど不正サイトへのアクセスをブロックします。また、家庭内に接続されている各デバイスへの脆弱性を悪用する攻撃をネットワークレイヤでブロックし、ルータなどの脆弱性を悪用する攻撃に対応します。
「Smart Home Network™」を搭載したルータがホームネットワークを保護する仕組みを紹介したこちらの動画「How Trend Micro Home Network Security Works」(英語)もご参照ください。
参考記事:
翻訳: 下舘 紗耶加(Core Technology Marketing, Trend Micro™ Research)