既に2億件世帯以上の家庭(英語)に、少なくとも1台のコネクテッドホーム・スマートデバイスが普及しています。そのため、安全性の高いIoTデバイスを購入することは、簡単だと考えているかもしれません。
残念ながら、ことはそれほど単純ではありません。
家の中の、最もくつろげる空間であるはずのリビングに突然やってきたコネクテッドホーム・スマートデバイスは、あなたのセキュリティやプライバシーを十分に配慮することなく入り込んできています。 これらのコネクテッドデバイスの多くは、メーカー側での基本的なセキュリティ保護すら欠けた状態で提供されており、犯罪者はそこに付け込んでいます。
実際、世界中のサイバー攻撃を監視するエフセキュアのハニーポットネットワークでは、PCやスマートフォンを標的とする脅威よりも、Webカメラやルーターなどの安全でないIoTデバイスを狙ったMiraiマルウェアが数多く観測されています(英語)。
犯罪者は、脆弱なIoTデバイスを経由することで家庭をターゲットにできることを知っています。しかしながら、一般的に多くの消費者にとって、自分が設置する機器が安全かどうかは知る由もありません。
また、コネクテッドホームデバイスをどのように保護しようとも、私生活をそれらのデバイスで満たすことから生じるプライバシーの問題は大変複雑であり、サードパーティプロバイダーをただ信頼するしかないように思えてしまいます。
IoT革命はまだ始まったばかりで、今後ますます加速していくため、これからコネクテッドホームデバイスの購入を検討する際に、知っておくべきことを解説します。
ようやく消費者に支援の手が差し伸べられる
FBIとInterpol(英語)の双方が、多くのIoTデバイスのセキュリティ問題について消費者に警告してから数年が経ちました。これまでは、製造業者にIoTデバイスのセキュリティを改善することを要求する法律が米国で議論され(英語)、英国で提案され(英語)てきましたが、製造業者はいかなる法的基準にも拘束されていませんでした。
それが今、変わろうとしています。
2020年1月1日に、カリフォルニア州のSB-327(IoTを規制する最初の法律)が(英語)施行される予定で、これによって、コネクテッドデバイスのセキュリティの向上が図らるようになります。これは歴史的な一歩ですが、消費者はスマートホームを保護するという課題がすべて解消されることを期待すべきではありません。
エフセキュアのTimo Laaksonen(ティモ・ラクソネン)は、次のように述べています。「SB-327は、メーカーが提供しているサービスに照らして“相応な”セキュリティ対策を実施することのみを要求しています。なぜ、そのようなあいまいな表現をしているのでしょうか?」
しかし、それはSB-327が役に立たないという意味を指すわけではありません。
強力で独自なパスワードがIoTを大きく改善する
「間違いなく改善されることの1つは、デフォルトのパスワードが受け入れられなくなることです。」とTimoは指摘しています。「そして、今日のデータ侵害は、75%は脆弱なパスワードまたは再利用されたパスワードが原因であると言われています。」
Miraiマルウェアは、脆弱なパスワード、推測可能なパスワード、またはハードコードされたパスワードを狙い撃ちにします。これらのセキュリティ脅威は、IoTシステムを構築、デプロイ、および管理する際に避けるべき脅威動向をまとめた、The Open Web Application Security Project(OWASP)Top 10(英語)の第1位にリストされています。」
SB-327は、以下の機能を要求することにより、IoTセキュリティの巨大な穴を埋めることを意図しています(英語)。「製造された各デバイスに固有の、事前にプログラムされたパスワードの設定」または「初めてデバイスへのアクセスが許可される前に、ユーザに新しい認証手段を生成することを求めるセキュリティ機能」。
この条項は、新しいIoTデバイスの購入を予定しているときにチェックできる最も重要なポイントです。固有のパスワードが事前にプログラムされているかどうかを確認してみてください。もしプログラムされていない場合には、あなたが直ちに新しいパスワードを設定できる機能がありますか?
IoTデバイスが強力で固有のパスワードを設定できることを確認するにはどうすればよいのでしょうか?
Googleで検索してください。
「スマート」テレビを購入する際、FBIが推奨すること
サイバーセキュリティに関するアドバイスが、「Googleで検索してみて」では、とても高度なアドバイスとは言えません。しかし、一般にIoTセキュリティも高度ではありません。そして、ほとんどの人は基本的なことすら知りません。
2019年のブラックフライデーに向けて、FBIのポートランドフィールドオフィスは、このホリデーショッピング中にスマートテレビの購入を予定している消費者に、いくつか知っておいてほしいことがあると注意を促しました(英語)。実はそれらを要約すると、ほぼ「Googleで検索して」ということになります。
FBIからのヒントは以下のとおりです。
- テレビの機能とそれらの使い方を正確に把握しましょう。テレビの型番と「マイク」、「カメラ」、「プライバシー」という単語で、簡単にネット検索が実行できます。
- デフォルトのセキュリティ設定のままにしないでください。できることなら自分でパスワードを変更します。また、マイク、カメラ、および個人情報の収集機能をオフにする方法も調べましょう。オフにできない場合は、今一度そのモデルやサービスを購入するリスクを負う覚悟があるか考えてください。
- カメラの電源をオフにしたいけれどその方法が分からない場合は、原始的な方法ですが、カメラのレンズを黒いテープで覆ってください。
- 製造業者に、セキュリティパッチでデバイスを更新する能力があるかどうかチェックしてください。更新可能か、そして過去に更新した実績があるかを確認しましょう。
- テレビメーカーとストリーミングサービス会社のプライバシーポリシーをチェックしてください。収集するデータの種類、そのデータの保存方法、およびそれを何のために使用するのかを確認します。
これらのヒントは、購入予定のあらゆるコネクテッドホーム・スマートデバイスに有効です。
大手メーカーは固有の問題を抱えている
2019年初頭に発行されたエフセキュアのIoT脅威ランドスケープレポートの中で、エフセキュアのMark Barnes(マーク・バーンズ)(Amazon Alexaを最初にハッキングした人物)は、AmazonやGoogleなどの大手メーカーの多くが「大量生産デバイスの安全性を保つうえで相当努力している。」と述べています。」
しかし、これらのメーカーが勝手にプライベートデータを収集して、もはやプライバシーが保たれているとは言えなくなっても、世界中のすべてのセキュリティ規定は問題視されていませんでした。
今年の11月に、5人の米国上院議員(英語)がAmazonのJeff Bezos(ジェフ・ベゾス)CEOに対して、最近このECの巨人が8億ドルで買収したRing(スマートドアホンや屋外セキュリティカメラを手掛ける新興企業)に関するプライバシーとセキュリティの懸念について質問をしています。
Markは、「Ringのインターホンは、本当に役立つIoT機器の好例であり、世界中で販売されています。」と述べています。「しかし、私たちは個人情報と映像を彼らに託しているため、Ring社内での手ぬるいセキュリティ慣行とプライバシーが尊重されていない実態を示すレポートを読むと不安がつのります。」
IoTがもたらすメリットには、常にリスクが伴うのです。
「これらのサードパーティ企業が、私たちのデータを保護し、尊重して扱ってくれることを素直に信じているかもしれませんが、実際にはそうではないことが何度も実証されています。多くのケースで、安価なIoTデバイスを使うことの代償として、提供した個人データでベンダーを儲けさせるのです。これが、ベンダーのビジネスモデルの大部分を占めているのが実態です。」
消費者は単純なソリューションを求めている
すべてのメーカーがIoTデバイスのセキュリティを真剣に考え始め、消費者がすべての購入商品のパスワードとプライバシーポリシーを調査し始めたとしても、数百万の安全でないIoTデバイスは動作し続け、攻撃に対して脆弱な状態が継続するでしょう。
エフセキュアのMikko Hypponen(ミッコ・ヒッポネン)が名付けた「IoTアスベスト(英語)」は、さらに数十年は続くと思われます。
コネクテッドホームデバイスを安全に保護するためには、セキュアなルーターで攻撃者の探索行為を阻止することから始めます。残念ながら、市場に出回っている、ほとんどとは言わないまでも数多くのルーターに既知の脆弱性が含まれています。
消費者は、安価なIoTデバイスが爆発的に増加したことでその恩恵を享受していますが、同時にトレードオフとして、セキュリティとプライバシーを差し出しているのです。この深刻な問題を解決する唯一の方法は、ルーターを使用して、すべてのスマートホームデバイスをサイバー攻撃から保護する(英語)ことです。これが最も簡単で賢い方法です。今すぐ始めましょう。
カテゴリ