[JBpressの今日の記事(トップページ)へ]

自宅にとりつけたネットワークカメラが歌い出す

テレビやスピーカーなど、身の回りのIoTデバイスとネットワークがつながり、私たちの生活がより便利になっている昨今。これまで、国家や大企業などがサイバー攻撃の脅威にさらされているイメージが強かったが、IoTの普及と比例するように、その脅威もより身近になりつつある。

直近では、2017年8月にスマートスピーカー「Amazon Echo」を盗聴器に変換する方法が発見され大きな話題となった。これに対しAmazonは、問題が発覚したのは2016年モデルであり、2017年モデルのEchoはこの脆弱性に対応していることを明らかにしている。とはいえ、今後ますます生活に浸透していくことが予想されるスマートスピーカーが、盗聴器になり得る今回の発表は、一般家庭ですらサイバー攻撃の標的になり得ることを実感させられるものだ。

「IoTに限りませんが、インターネット空間における攻撃が激しくなってきています。攻撃者はより弱いターゲットを探しているので、そういった意味でIoTデバイスが狙われやすいという面はありますね」

そう語るのは、セキュリティソリューションサービスを扱うラックのサイバーグリッド・ジャパン、チーフリサーチャの渥美清隆氏。同社が2016年12月28日に発行したレポート『JSOC INSIGHT vol.14』でもデバイスの増加に伴い「IoT機器の乗っ取りを試みる攻撃の検知」をトピックスに挙げるなど、セキュリティ業界の中でも注目度が上がっているとのこと。

ひとつの例として渥美氏が挙げたのが、ある中国製のネットワークカメラ購入者のケースだ。

「ある日、リビングに設置したネットワークカメラが勝手に動いて、歌を歌いはじめたそうです。言語は中国語で、明らかに人の声。とても気味が悪いですよね。この件について、ほかのセキュリティの技術者に聞いてみると、おそらく実装ミスだろうとのことでした。カメラのメーカー側には別のサービスを展開する予定があり、購入者以外の開発業者にアプリケーションのAPIを公開していたとすれば、そこに脆弱性があったため乗っ取られたのでは、という見解でした」

この歌うカメラは、今年の1月に話題になり、販売元のAmazonがユーザーに返金手続きをおこなったが、カメラそのものの脆弱性に関しては解決していないという。

イメージ画像


「こうした事例が時々あるものの、幸か不幸か、IoTのコンシューマー向けのイノベーションが進んでいない日本では、身近な乗っ取り被害はあまり出ていません。しかし、世界的にはネットワークカメラやルーター周りの乗っ取り事件が多く報告されています」

一時期話題になった、セキュリティが脆弱な監視カメラがハッキングされ、その映像をネット上に公開しているサイト「インセカム」の存在など、IoTデバイスが悪用されたケースは今後も増えることが予想されているという。渥美氏は「ユーザー側は被害に遭っていることにまったく気づいていない点も、問題になっている」と語る。

感染しても気づかないマルウェア「Mirai」

近年、家庭用IoT機器のパスワードが攻撃者に突破され、ボットネットを構築するマルウェア「Mirai」に感染してしまったデバイスが悪用される事例も多くなってきている。さらに、2016年末にMiraiのソースコードが公開されて以降、攻撃者たちがさまざまな亜種を作成し、ウイルスの感染台数は50万台を上回っている。

そして、Miraiに感染したデバイスの多くは攻撃者に悪用され、知らぬ間にネットワークを通じて標的のマシンでのサービスを機能停止に陥れるDDoS攻撃に加担させられていているのだ。しかし、ユーザーはDDoS攻撃の踏み台になっていることにまったく気がついていないという。なぜ、感染されたことに気づけないのだろうか?

「IoTデバイスは、パソコンのように大きなディスプレイと操作可能なキーボードがついているわけではない、という点が大きく影響しています。本体に異常が起きたときに、使用者に異常を伝える方法がランプの色や点滅などしかないので、何が起きているのかを、具体的に知らせることができないんです。デバイスによっては“動作が遅くなる”という特徴が表れる場合もありますが、セキュリティ意識の低い人は『なんだか遅くなったなあ』と感じても、そのまま使いつづけている可能性は大いにあります」

異常を知らせる術を持たないIoTデバイスは、脆弱なまま長期にわたって放置されてしまうケースがあるという。

「ただし、IoTだから狙われやすいということではありません。パソコン、IoTに関係なく、すでに攻撃方法が明らかになっているデバイスは必ず攻撃されます。ただし、パソコンの場合は異常に気づいて早めに対策を打てる、という違いがありますね」

どんなデバイスでも攻撃されるリスクがある一方で、IoT機器がDDoS攻撃の踏み台になるケースが増えていることはたしか。IoTが狙われるようになった背景には、おもに4つの要因がある、と渥美氏は語る。

「ひとつは、IoT製品の数が圧倒的に増えたことで、攻撃を受ける機会が増えたこと。ふたつめは、IoTの実装者側がITのセキュリティにあまり詳しくないケースが少なくありません。もともとITとは関係のない事業を展開していたビジネスレイヤーの人は、IoTデバイスを開発する際に運用を優先させるため、セキュリティやセーフティに思いが至っていないことも原因として考えられます」

3つめは、アンチウイルスソフトを実装するための、メモリやストレージといったリソースが足りず、対策がとれていないことなどが挙げられる。そして、最後はユーザーのセキュリティ意識の問題だ。

「ユーザーのセキュリティ意識の低さが、サイバー攻撃を受けやすくしている可能性もあります。パスワードを工場出荷時のまま放置したり、ウイルスに感染して動作が遅くなったりしても気にせず使いつづけると、長期間攻撃されつづけることになってしまうのです」

「自分のパソコンは感染されない」という根拠のない自信を持ち、何の対策もとっていないユーザーのパソコンを調べると、ウイルスだらけだった例も多い、と渥美氏は語る。

実際に個人のデバイスが乗っ取られた場合、企業とユーザー、どちらに責任が課せられるのだろうか?

「日本では、法的な責任分解の整理ができていないのが現状です。たとえば、デバイスを作ったメーカーと、それを販売する運用者が別の場合、販売した製品のメンテナンスをする責任は、メーカーと運用者のどちらにあるのか。メーカーと運用者、利用者と被害者の利害関係が複雑に絡み合っているので、クリアするには時間がかかりそうです」

まだ明確になっていないが、場合によってはユーザーが責任を負うこともあるという。

「マニュアルで指示されたにも関わらず、パスワードを設定しなかったり、個人が行うべきメンテナンスを怠った場合は、ユーザーに責任があります。イタズラされる程度なら問題ありませんが、デバイスの脆弱性を知りながら利用を続けていれば、ユーザーに責任が課せられる可能性も考えられます」

たとえば、マルウェアに感染している脆弱なデバイスを使用し、第三者にケガをさせた場合には、ユーザーの過失として賠償金が請求される、というケースもありうるのだ。

「今のところ、IoTデバイスの中で事故が起きる可能性が高いのがドローンです。海外では、ドローンが事故を起こした事例報告も出てきています。ケガ人が出そうな場所でドローンを飛ばした場合はユーザーにも非があるので、責任は免れません。ドローンの場合は、状況に合わせて、その都度審議することになるでしょうね」

古いスマホは処分。セキュリティ意識を高めて自衛を

IoTが生活に溶け込むほどに、無視できなくなってきたサイバー攻撃の問題。攻撃者から自分の生活を守るために、個人でできる対策はあるのだろうか?

「第一に、デバイスを購入する際はパスワードが再設定できる製品を選び、必ずパスワードを再設定してください。なかには、プログラムの中にパスワードが埋め込まれていて、誰も変更ができないという製品もあります。その場合、ユーザーはどうすることもできないので、選択肢から外すのがベターでしょう」

セキュリティ対策は、製品を選ぶところからはじまっているのだ。そして、使わなくなった古いデバイスを適宜処分することも、セキュリティ対策につながるという。

「古いルーターや過去のスマホを、使用している人は意外と多いと思います。しかし、OSをアップデートしていないデバイスはセキュリティ的にも脆弱なため、自宅のWi-Fiにつなげる場合でもとても危険。使わないデバイスは処分しましょう」

また、現在使用しているデバイスでもファームウェアのバージョンを定期的に確認し、最新版に更新するように心がけるのも、セキュリティ対策につながるとのこと。

渥美氏は「技術は諸刃の剣」と語る。生活を便利にしてくれる反面、いつでも攻撃者の餌食にされる可能性を含んでいるのだ。IoTのセキュリティ対策は、日常の防犯と同じ意識を持つことが、本当の意味での快適な生活を手に入れることができるだろう。

株式会社ラック
https://www.lac.co.jp/

筆者: Kayo Majima (Seidansha)