Nestは顧客に対し、スマートホーム機器と他のウェブサイトやサービスの間でパスワードを再利用しないよう呼びかけている。
これは、他のウェブサイトから漏洩または盗まれたユーザー名とパスワードを使用して、Nest アカウントにログインし、インターネットに接続された家庭用機器を乗っ取ろうとする悪意のある人物が発見された後のことだ。これは、クレデンシャル スタッフィングと呼ばれるタイプの攻撃である。
グーグル傘下のスマートホーム部門ゼネラルマネージャー、リシ・チャンドラ氏は水曜日、ネストの全顧客にメールを送り、アカウントの安全を確保するためのセキュリティのヒントを紹介する前に、メーカーは「ネストデバイスで問題を経験している人々から話を聞いている」と述べた。
先週、アルジュン・サドという男が、イリノイ州にある自宅のアカウントに侵入したネット荒らしに恐怖を覚えた様子を報じました。荒らしは、自宅の温度を変えたり、生後7ヶ月の赤ちゃんに話しかけたり、リビングルームで卑猥な言葉を叫んだりしていました。自宅には16台の防犯カメラが設置されていたとされる一家を、どれほど長い間監視していたのか、サドは知る由もありませんでした。
どうやらこれが唯一の事例ではないようだ。Nestによると、悪質な人物が、無関係なウェブサイトのセキュリティ侵害からオンライン上に流出したユーザー名とパスワードを使って、認証情報が再利用されているNestアカウントにアクセスしようとしている可能性が高いという。
「Nestは侵害を受けていないものの、顧客のメールアドレスとパスワードはインターネット上で自由に公開されているため、脆弱な状態にある可能性があります」とチャンドラ氏のメールは警告した。「ウェブサイトが侵害された場合、誰かがユーザーのメールアドレスとパスワードにアクセスし、そこから同じログイン情報を使用しているすべてのアカウントにアクセスできる可能性があります。」
Nestは、オンライン上に流出したパスワードを積極的に監視していると主張しており、「侵害されたアカウントが見つかった場合は、警告を発し、一時的にアクセスを無効にします。また、既知の侵害リストに掲載されているパスワードの使用も防止します」としています。
しかし、世の中は広大で醜いものです。そこでガジェット業界は、アカウントのセキュリティ強化のためのヒントをいくつか提供しています。2要素認証サービスを使用する、Nestアカウント専用の強力なパスワードを選択する、アカウントのログイン情報を共有せず、代わりに同社の共有アクセスサービスを使用して他の人が自分のアカウントにアクセスできるようにする、ルーターのソフトウェアを最新の状態に保つ、フィッシング詐欺メールに注意する、などです。
クソのインターネット
IoT(モノのインターネット)やスマートホーム製品はセキュリティが脆弱であることで悪名高いですが、Nestは発売当初から製品に保護メカニズムを組み込んでいる数少ない企業の一つです。しかし、メーカーがどれだけ多くの防御策を講じても、誰かが多要素認証なしで同じユーザー名とパスワードを他の場所で使用したり、脆弱なパスワードを使用したりすれば、意味がありません。
極渦の渦中…ハネウェル、リモートスマートサーモスタット技術が1週間凍結し、冷淡な対応を受ける
続きを読む
まったくの他人が遠隔から自宅にアクセスでき、防犯カメラ、煙探知機、サーモスタット、さらには Nest-Yale のドアロックを装着している人なら玄関にさえアクセスできるという極めて不気味な状況を考えると、ネットユーザーはアカウントをロックダウンする強い動機を持つべきであり、これは彼らが単に認識不足であることを示している。
もちろん、Nestはそれ以上のことができるはずです。例えば、何か異常なことが起こったかどうかをユーザーが確認できるように、アクセスログを提供していません。また、承認されたIPアドレスへのアクセスを制限するといった高度なセキュリティオプションも提供されていません。
そうは言っても、最近のアカウントハッキングは、インターネットユーザーの大多数が電子セキュリティについてほとんど普遍的に理解していないことに起因していることは間違いない。
Nestをお持ちでなくても、複数のデバイスで同じパスワードを使い回さないでください。また、可能な場合は2要素認証または多要素認証を設定してください。ユーザー名、パスワード、認証コードを入力させようとするフィッシングメールにはご注意ください。®
