インターネットに接続されたスマート家電は便利である一方、サイバー攻撃による盗撮などのリスクも。家庭での対策が欠かせない(写真:Komaer / PIXTA)

私たちの日常生活で、インターネットに接続されたエアコンや照明、カメラ、ロボット掃除機などの「スマート家電」は今や当たり前の存在になっている。音声アシスタントに音楽を流してもらったり、スマートフォンを通じて外出先からロボット掃除機を操作したりと、便利なものだ。

しかし、昨今のサイバー攻撃者は、こうしたインターネットに接続されたスマート家電をも攻撃対象にしている。ハッキングされると、自宅での様子を盗撮される危険性もある。これまでの被害事例と、サイバー攻撃を防ぐための対策を紹介する。

ロボット掃除機から盗撮されるリスク

部屋の形状を認識し、人間に代わって隅々まで掃除してくれるロボット掃除機。家事負担を軽減してくれるありがたい家電でありながら、注意すべき事態が発生している。

2017年に発表された国内メーカーのロボット掃除機には、購入した正規ユーザー以外の第三者が、不正に遠隔操作できる脆弱性が存在したことがわかった。


サイバー攻撃やセキュリティの最新動向など、その他の関連記事はこちら

高機能なロボット掃除機にはカメラを搭載して部屋の遠隔見回りができるものもあり、第三者からの遠隔操作により、これらの画像が盗撮に悪用されてしまうおそれがあったのだ。

自宅、そして自分や家族の様子がのぞき見されるかもしれないと考えると背筋も凍る話だ。

この製品の脆弱性を悪用するには、購入者と同じ自宅ネットワークに接続する必要があるため、被害に至る条件は限定的だった。しかし、同種の脆弱性がさまざまな機器でも生じる可能性は否定できない。

ほかにも、海外メーカーではクラウドサービスの外部委託先から掃除機が撮影したカメラ画像が漏洩する事例も発生している。

スマートホーム端末をハッキングされ、住人がパニックに

クラウドサービスと接続し、遠隔による家電の操作やビデオ通話によるやり取りが可能なスマートホーム端末にもサイバー攻撃の被害が生じている。

2019年にアメリカで発生したスマートホーム端末のハッキング事案では、勝手に部屋の設定温度を高く変更されたり、カメラを通じて話しかけられたりし、住人がパニックに陥った。第三者にクラウドのアカウントを不正に入手されたと見られている。

カリフォルニアに住む別の一家も被害に遭った。ハッキングされたスマートホーム端末を通し「北朝鮮から大陸間弾道ミサイルが飛んでくる」と警告され、恐怖を味わった(もちろん警告は嘘)。

スマート家電の多くがクラウドサービスを通じた利用を前提としているため、インターネットサイトやアプリ上でログインさえできれば、誰でも制御が可能になってしまう。

多くの場合、他のサービスで漏洩したIDとパスワードの組み合わせを第三者が入手し、不正にログインに悪用することによって被害につながっている。

ネット接続されたカメラは設定を確認すべし

2023年1月、国土交通省が全国の河川に設置している監視カメラ338台が不正アクセスを受け、カメラ画像の配信停止を余儀なくされる事態が発生した。

このときに使用されていた簡易型のネットワークカメラは、カメラ本体で無線通信を行い、インターネットに直接接続して画像情報のやり取りを行うもの。攻撃者はセキュリティの脆弱なカメラを狙って内部に侵入したものと考えられる。

インターネットからのアクセスが容易なネットワークカメラは、外出先から室内のペットの確認や、設備の防犯目的で監視する目的などでも幅広く使用されているが、設定によっては、意図せず誰でも閲覧可能な状態になっているものも数多く存在する。

これらのネットワークカメラを集約した“のぞき見サイト”もインターネット上で公開されており、知らない間にプライバシーが侵害されている可能性がある。


公開カメラ収集サイトのイメージ(写真:筆者提供)

工場出荷時のIDやパスワードを変更していない場合、意図しない閲覧だけでなく、カメラの設定画面を通じて自宅のネットワーク内部に侵入され、悪用される場合もあるため注意が必要だ。

気が付きにくいスマート家電へのハッキング

日々さまざまなスマート家電で脆弱性が報告され、アップデートのためのアナウンスが行われている。しかし、企業へのサイバー攻撃と異なり被害の具体例の報道が少ないことも、スマート家電を対象にしたサイバー攻撃の特徴といえる。

セキュリティ対策をしっかりと行い、不正アクセスや情報漏洩に気がつける仕組みを一般の家庭で完璧に整備することは、まだ現実的ではない。

ウェブ上にはインターネットに接続されたIoT機器を検索するサイトも存在し、サイバー攻撃者は脆弱性が発表されると、対象となる機器やバージョンを特定して攻撃の準備を進めている。

脆弱なまま放置されがちなスマート家電は、サイバー攻撃者にとって脅迫のタネとなる。プライベートな情報の窃取や、乗っ取ってサイバー攻撃の手足としてボット化させるなど格好のターゲットとなりかねない。

だからこそ、各家庭での対策が重要だ。具体的にどのような点に気をつけるべきなのか、見ていこう。

スマート家電を安全に使うための心構え

この3つのポイントをおさえておきたい。

1. パスワードを変える・二段階認証を設定する

クラウドサービスごとに、パスワードは別のものを割り当てる。これにより、別のサービスから漏洩したIDとパスワードでログインされるリスクを低減できる。二段階認証が利用可能な場合は、必ず設定するようにしたい。

また、インターネットに接続される機器のID・パスワードが初期設定のままで放置されていると、乗っ取り被害にあいやすい。これらの標準パスワードは第三者でもマニュアルなどで確認可能なため、購入後は速やかに変更する必要がある。

2. 脆弱性情報に注意する

昨今、機器メーカーはサイバー攻撃につながる恐れがあるサービスや装置の脆弱性情報を、アップデートとともに公開している。対策するために必要な情報だが、サイバー攻撃者はこれらの脆弱性情報を参考に、対策が行われていない機器に対して攻撃することがわかっている。

使用している機器の脆弱性情報に気が付いた際に、アップデートがあればただちに適用して対策を行うことが最大の防御策となる。

積極的に情報を公開しており、アップデートが行われているメーカーの機種を選択することも有効だ。

3. IoTセキュリティチェックが行われている機器を選択する

多発するIoT機器のサイバー攻撃による悪用や脆弱性の発生を受け、イギリス、アメリカ、日本を含む各国ではIoT機器のセキュリティ対策に関する規制や、セキュリティ認証制度の整備が進んでいる。

例えば、一般社団法人重要生活機器連携セキュリティ協議会(CCDS)は、CCDSサーティフィケーションプログラムを実施している。これは、★〜★★★(レベル1〜3)でセキュリティ対策状況を評価し、消費者が選択しやすくする指標として商品やサービスに掲示するもの。

対応製品が増えてきた際は、セキュリティ認証がクリアされた製品を選択することで、サイバー攻撃者からのハッキング被害をある程度緩和することが可能になる。

今後はAIとの連動により、スマート家電はますます便利に進化すると考えられる。その利便性を安心して享受し続けるために、セキュリティ対策に積極的なメーカーや機種を選定し、利用時の設定に気をつけながら活用していただきたい。

(仲上 竜太 : 日本スマートフォンセキュリティ協会 技術部会長/ニューリジェンセキュリティCTO)