IoT Security Topics IoT Security Topics

家庭内の様々な機器がインターネットに繋がる、「家庭内IoT」に関するトピックスをお届けします。

セキュリティ・脅威情報

侵入口はコーヒーマシン! ハッカーが語る「スマートホームとIoTの脆弱さ」

2017/10/04
トップ > セキュリティ・脅威情報 > 侵入口はコーヒーマシン! ハッカーが語る「スマートホームとIoTの脆弱さ」

とあるイタリアのホワイトハット・ハッカーが、自宅のスマートコーヒーマシンのハッキングを試みた。わずかな時間でプログラムの書き換えに成功してしまった彼は、そのあまりの簡単さに危機感を覚えた。スマートホームが注目を集めるいま、IoTハッキングの真の怖さと必要な防衛策、そしてそれを防ぐデバイスについての、いくつかのこと。

ハッカーがコーヒーマシンをハッキングしているイラスト

コーヒー愛好家のシモーネ・マルガリテッリは、アマゾンで購入したスマートコーヒーマシンに満足していた。自宅のWi-Fiネットワークを使い、スマホのアプリからコーヒーを淹れることができるものだった。飲みたい分だけ、味も好みの濃さで、アプリのボタンひとつでカンタン抽出できる。

しかし、マルガリテッリはハッカーだ。一日のほとんどをパソコンの前で過ごすハッカーが使うのは、スマホではなくパソコンのキーボードだ。もちろん上限温度190℃のヴェイパライザーを6553.5℃まで遠隔で設定できるようハッキングするなんてことはお手のもの。「いいアプリだ」で終わるはずがなかった。

「コーヒーマシンを買ってすぐに考えたよ。何かほかのことをしながら、キーボードから自動でコーヒーを淹れられるようにハックできたらクールだなって。で、すぐにマシーンをリバース(解読)し始めたのさ」

結局、マルガリテッリはスマホのアプリがどのようにコーヒーマシンを制御しているのかを数時間足らずで解読し、スマホ以外からでも自動でコーヒーを淹れることができるよう、コーヒーマシンのプログラムごと書き換えてしまった。

ここまで聞くと、凄腕ハッカーがおもしろ半分に自分の腕試しをしているように聞こえるが、彼の目的はもうひとつあった。

IoT機器のハックは、あまりにも簡単すぎる

昨年、世界各地で史上最大規模といわれるDDoS攻撃(Distributed Denial of Service attack / 分散型サービス妨害攻撃。サーバーの負荷や通量を増加させ、サービスを低下させることを目的とした、攻撃元を分散した大規模なサイバー攻撃)が多発し、攻撃の標的となった基盤システムを利用するNetflixやTwitter、Airbnb、Spotifyなどの大手ウェブサービスまでもが相次いでダウンする事態に発展した。

この大規模ネットワーク攻撃を仕掛けていたのは、マルウェア「Mirai」に感染した、数十万台に及ぶ家庭用ルーターやネットワークカメラなどの個人のデバイスだった。Miraiはセキュリティの脆弱なIoT機器を狙い、感染したデバイスを遠隔でネットワーク攻撃を行うためのボットネットに変えてしまうマルウェアである。

企業や社会のセキュリティ向上など、善良な目的でハッキングを行う「ホワイトハット・ハッカー」であるマルガリテッリはこの事態をうけて、IoT機器のハッキングがどれくらい簡単なのかを自身の目で確かめたかったのだ。そしてコーヒーマシン・ハッキングを経て出した結論は、「あまりにも簡単すぎる」ということだった。

「フルアクセス、つまり遠隔でコーヒーを抽出可能にして、さらにコーヒーマシンのファームウェアを書き換えるのに1日半しかかからなかった。認証情報など一度も要求されることなくね」

コーヒーマシンの内部のプログラムはマルガリテッリいわく「至極シンプル」なものだった。さらに、スマートコーヒーマシンの専用アプリでユーザー情報を登録するものの、コーヒーマシンの内部にはユーザーの認証アルゴリズムはなく、同じネットワーク内にいる人間は認証不要でコントロールを奪って遠隔操作することができてしまうという。

また、容易にハッキングできてしまうのは、コーヒーマシンに限らずほとんどのIoT機器にいえるようだ。

「ヘルスケアブレスレット、スマートTV、スマートウォッチ…。俺はおたくだからね、スマートデバイスも沢山買う。そして買ったものはほぼなんでもハックする。正直にいって、『ハックするのが難しい』と思うものにはまだ出会ってないよ。煮詰まったとしても数日でハックできる」

複数のデバイスがハッキングされているイラスト

ひとつハックされると、すべてがハックされる

米国の調査会社Gartnerによると、2017年現在、ネット接続したデバイスは世界で80億台を超えている。2020年までには200億台を超えるまでに膨れ上がり、IoT機器やサービスの市場規模は約3兆ドルに達すると見込まれている。

日本でもスマートTVやスマートキッチンなどのIoT機器のユーザーは増えているが、これらがハッキングされることでぼくらの生活にどう影響するのだろうか。家の冷蔵庫がハッキング? コーヒーマシンが? なかにはトイレをハッキングしてプロセスを公開したハッカーもいる。笑い話にもなりえてしまうが、マルガリテッリはセキュリティの脆弱なIoT機器の危険性についてこう話す。

「一度デバイスをハックすると、攻撃者は同じネットワークにつながったすべてのものにアクセスできるんだ。ハックしたデバイスを拠点にしてさらに大事なものを攻撃する。つまり、コーヒーマシンをハックしたということは、すべてをハックしたということなのさ」

2016年にBlackBerryが主催したセキュリティサミットでは、オフィスのネットワークにつながっている「スマートやかん」をゲートウェイにしてネットワーク全体に侵入し、危険性の高いデータを潜ませられることが証明された。

「企業のネットワークだったら、そのさらに大事なものとして、機密情報が蓄積されたメインデータベースや、もっと最悪なものにもなり得る。原子力発電所のタービンが侵入されたら、と想像してごらんよ」

そして一般家庭レベルでも。

「一般家庭のネットワークなら、たとえばアラートシステム(あるいはヘルスケアデバイス、火を使うスマートキッチン)のような別のスマートデバイスをハックして被害を起こすこともできるし、銀行口座やEメールなど個人の重要な情報を標的にしたMITM攻撃(man-in-the-middle attack / 中間者攻撃。通信を行う二者の間に入り込み、おもに通信内容の盗聴・改ざんを行う攻撃)をネットワークに仕掛けることもできる。さらに、ネットワークのアクセス権を得るということは、そのアクセス権を匿名での犯罪にも利用できるってことだよ」

IoT機器ハックは、SF映画のなかのできごとではない

「一見無害なコーヒーマシンハックも、Miraiの一件でIoTアタックがとてつもない被害につながることが証明されてしまったし、甚大なメディアインパクトをもつことも企業は気づいているはず。だけど、メーカー企業が十分に対策をしてるとはいえない。ほとんどのIoT機器が時代遅れで安全ではないソフトウェアをプロダクトに使っているし、つぎはぎだらけのテクノロジーだよ」

では、どうすればユーザーは自身のIoT機器をハッキングから守ることができるのか。マルガリテッリが教えてくれた3つの対策は、セキュリティデバイスを使いこなすうえでの新しいマインドセットともいえるものだった。

「まずは、ルーターがデバイスをパブリックネットワークに晒さないようにすること。次に、ルーターのファームウェアを最新の状態にすること。そして最後に、それぞれのデバイスで独立したネットワークを使うこと。もしひとつのデバイスやネットワークがハッキングされても、ハッカーは別の重要なデータから物理的に遮断されるからだ。ネットワークを切り分けることがカギさ」

あるいは、市販の専用セキュリティデバイスを活用するという手もある。
トレンドマイクロの「ウイルスバスター for Home Network」は、家のルーターとつなぎ、スマホやタブレットに管理アプリをインストールするだけで、パソコンからIoT機器まで家のネットワークに接続されたデバイスをハッカーの手から守ってくれる。セキュリティソフトを直接インストールできないIoT機器のハッキング対策や、有害なサイトへのアクセスを一括で防御したいときに有効だ。

「セキュリティはマインドセット、またカルチャーのようなもの」とマルガリテッリがいうように、IoT機器のセキュリティ対策が浸透するにはまだ時間と労力がかかるかもしれない。しかし、ハッカーは待ってはくれないのだ。

これは、すでに現実に起こりえることだ。ハッキングはパソコンの画面の向こうだけで起こるものではなくなってしまった。インターネットがパソコンというハコを飛び出したいま、家のトイレ、冷蔵庫、電子レンジにスピーカーから、あなたの大事な情報が盗まれてしまうかもしれないのだ。

ウイルスバスター for Home Network|トレンドマイクロ]

  • 本製品は、セキュリティソフトをインストールできない接続機器を乗っ取りや遠隔操作などから守ったり、有害なサイトへのアクセスを一括で防御したい場合などに有効です。USBメモリや、メールに添付されてくるウイルスなど、ネットワーク上の攻撃でないものやご家庭のネットワーク外での端末ご利用時は本製品の保護対象外となりますので、PCやスマートフォンには従来のセキュリティソフトが必要です。

構成:TAKUYA WADA イラスト:ARON VELLEKOOP LEON

※本記事は、2017年10月4日に、WIRED.jpに掲載されたPR記事です。

関連記事

セキュリティ・脅威情報 2018/04/11

スマホやPCだけじゃない、ネットの脅威はさまざまなIoT機器に迫っている!!あなたが知らないネット脅威の最新手口

気温も暖かくなり、新しい門出を迎える人も多い春。新生活を楽しく安全なものにするためには、デジタル周りのセ...

セキュリティ・脅威情報 2017/07/24

ネット家電やIoT機器への攻撃を元栓で食い止める - 家庭を守護るウイルスバスター for Home Networkを一家で使ってみた

家庭内にネット接続する機器は、今すごく増えている。パソコンやスマホはもちろんだが、テレビやゲーム機、場合...

将来、ネット家電やIoTが乗っ取られて命に関わる事態も - テレビに突然の脅迫状!あなたの自宅へ忍び寄る脅威を体験
セキュリティ・脅威情報 2017/07/18

将来、ネット家電やIoTが乗っ取られて命に関わる事態も - テレビに突然の脅迫状!あなたの自宅へ忍び寄る脅威を体験

テレビ画面に突如、「罰金を支払え」との脅迫とカウントダウンが!あなたの自宅で同じことが起きたらどうする!?

ウイルスバスター for Home Network IoT機器や、スマート家電への攻撃をまとめてブロック。 ウイルスバスター for Home Network IoT機器や、スマート家電への攻撃をまとめてブロック。
  • 次年度以降もサービス契約の継続をご希望される場合は更新費用として年間6,600円(税込)が必要となります。
  • 本製品をお使いになる前に、サービス利用規約を必ずお読みください。アプリインストール時に表示されるサービス利用規約が、本製品の利用に関するお客さまとの契約内容になります。
  • 本製品により可視化される情報および本製品により収集される脅威の情報等の詳細はサービス利用規約上方の「お客さまの端末情報の送信についてのプライバシーポリシー」に記載されています。ご使用前に必ずお読みください。
  • ご購入時には別途送料が必要となります。
  • 本ページ記載の内容は2017年10月4日現在の情報をもとに作成されたものです。今後、価格の変更、仕様の変更、バージョンアップ等により内容の全部もしくは一部に変更が生じる可能性があります。

トップへ戻る