画像提供:マイナビニュース

写真拡大

●もしスマートスピーカーが攻撃されたら

コーヒーメーカーが音を立ててコーヒーを入れ始める。スピーカーがいきなりAmazon Echoに話しかけ、「Hey Alexa, Add Tesla Model X to my shopping list(Alexa、TeslaのモデルXをショッピングリストに追加して)」と言い始める……。

普段は我々が制御しているはずのデバイスが言うことを聞かなくなると、まるで別の意図を持った恐ろしい存在に見えてくる。ホームネットワークが感染するとどのようなことが可能になるのか、セキュリティ大手のAvastが解説した。

○Wi-Fiルータからの侵入は容易

ルータから家のWi-Fiネットワークに侵入され、つながっている機器を自由に操られる……というと人ごとのように思えるが、Avastでモバイル脅威インテリジェンスアナリストを務めるFilip Chytry氏によると、この攻撃は容易に可能だと言う。

Chytry氏が披露したデモは、家庭にあるWi-Fiルータを攻撃して乗っ取り、遠隔からスクリプトをインストールして、ルータに接続するデバイスを制御してしまうというものだ。スピーカーに言わせたいことを攻撃の命令文に書き込むと、、制御されたワイヤレススピーカーはその通りにしゃべり、これを音声アシスタント(デモではAmazon Alexa)が聞き取る。

これだけでも十分恐ろしいが、Chytry氏はさらなる攻撃シナリオを教えてくれる――それはスマートロックだ。もし、インターネットから操作できるドアや窓の鍵が攻撃者にも制御可能になれば、勝手に家の中に入ることができてしまうのだ。

○日本の40%のルータに脆弱性

もはや家庭内ネットワークがハッキングされるという事態は人ごとではなさそうだ。Chytry氏によると、日本では実に約40%のWi-Fiルータがハッキング可能という。つまり、上で紹介したデモのように、リモートから家庭内ネットワークアクセスしてマルウェアを動かされたり、パスワードを盗まれたり、ホームネットワークに侵入されたりする、ということになる。

これは米国の56%よりは(比較的)安全というが、「5台に2台」と考えるとどきっとする。日本のWi-Fiアクセスポイントの11.3%がオープン、つまりパスワードで保護されておらず、弱いパスワードのままのルータは24.3%、既知の脆弱性を含むものは24.5%あるという。

Wi-Fiルータ以外にも、25.3%のWebカメラがハッキング可能で、プリンタでは12.4%が脆弱性が残ったままとのことだ。この場合、Wi-FiルータではなくWebカメラがマルウェア感染の入り口になりかねない。プリンタについても、通常2日程度の出力履歴がプリンタ内のメモリに残っているといい、企業ならこの中に財務や新製品などの機密情報が含まれているかもしれない。

●IoT時代のセキュリティに必要なこと

2016年に同業のAVGを買収したAvastは現在、世界最大規模のアンチウイルスベンダーとなっている。ユーザーは4億人を数え、毎月35億件のマルウェア攻撃を防いでいるという。脅威を調べるThreat Intelligenceは世界最大級のデータベースとなっており、毎月3億近くの新しい実行可能ファイルを処理している。このうちの25%程度(7,500万)が悪意あるファイルだという。

これまではPCにインストールするアンチウイルスが中心だったが、モバイル、そしてIoTにより同社の事業内容も拡大しつつある。PC向けのセキュリティ、プライバシーに加え、AndroidやiPhone/iPad向けにも製品を拡充。モバイルアプリの「Wi-Fi Finder」では、Wi-Fiネットワークに繋がっているデバイスをチェックでき、認可されていないデバイスが接続していないかがわかる。脆弱なデバイスがないかをスキャンし、セキュリティ問題も解決する。

このところ進めているのが、セキュリティ企業で製品への導入が進んでいる機械学習の利用だ。例えば、認識されていないファイルがダウンロードされるとその複製をクラウドで評価して安全性をチェックする「CyberCaputure」、常時接続を生かして数分ごとにシルネチャファイルがアップデートされる(デバイス側でシグネチャファイルを持たない)ストリーミングアップデート、オフラインでも保護できるサンドボックス機能などを挙げた。

○IoT製品には「セキュリティ面の安全」も必要

IoT時代の保護としては、ネットワークをスキャンして問題を識別し、修正方法を知らせる「WiFi Inspector」を提供するほか、ルータそのものを保護するためルータメーカーと提携し、Avastのセキュリティ技術の統合を進めているという。ルータメーカーとの提携は、国内でもトレンドマイクロとエレコムが組んで同様の施策を行うなど、今後さらに広がりをみせそうだ。

これに加え、Avastは日本で通信キャリアとも話を進めており、ネットワーク上でディープパケットインスペクション(DPI。IPパケットの検査技術のひとつ)を提供するなどの対策を提供するという。米国ではVerizonなど主要大手キャリアが実装済みとのことだ。

最後にChytry氏は、規制の重要性についても強調した。「IoTデバイスを出荷する際は安全に保護されているという要件が必要だ」とし、欧州では進んでいるが他の国でも必要だと主張した。「規制は良いところ、悪いところがあるが、重要なのはコンシューマーの保護。サードパーティにデータを渡す場合にそこできちんと保護されるかなど、チェックできる仕組みが必要」(Chytry氏)。