スマートホームに住んでいるなら、ドアの鍵を全部外して「泥棒注意!無料のお土産あります」と書かれた看板を掲げた方がいいかもしれません。少なくとも、これはトレンドマイクロが「複雑なIoT環境」がもたらすセキュリティ脅威に関するレポートの主旨です。
こうした環境は、IoT ホーム ガジェットの販売業者が「スマート ホーム」と呼ぶものであり、トーキー トースター、Amazon の Alexa や Google Home などの不気味な常時オンの音声監視デバイス、および日常生活に関する情報を生成するデータ レポジトリに変換されたその他の「従来の無能な家電製品」でいっぱいの半ば仮説的な場所です。
どこでも同じパスワードを使い回している人、Nestでもそうしている人、手を挙げてください。ハッカーに監視されるのが好きな人も手を挙げてください。
続きを読む
トレンドマイクロの最新レポート「複雑なIoT環境におけるサイバーセキュリティリスク」は、これらのデバイスで構成された全く無害なネットワークが悪用され、自宅に侵入され、盗賊が思い通りに持ち去ってしまう未来像を描いています。スマートホームのコンセプトの中には、ローカルNAS、ネットワークスイッチ、複数のWi-Fiルーター、メッシュアレイなど、スマートホームデバイスをより広域のインターネットに接続するためのものもいくつかありますが、潜在的な攻撃対象領域の大きさは明らかです。
Trendによると、これらの設定の中には、住宅所有者がスマートガジェットにルールを設定できるものもあります。例えば、Ring Doorbellが動きを検知し、所有者のスマートフォンが家の中にある場合、Sonosスピーカーからドアベルの音を鳴らすようにスマートホームを設定したり、所有者のスマートフォンがホームネットワークの圏内にない場合、犬の吠え声を鳴らすように設定したりできます。これは便利なホームセキュリティ機能ではないでしょうか?
「Sonosで再生されるサウンドバイトが、(Amazon)Alexaに家中のモーションセンサーを無効にするよう指示していないことを、どうすれば検証できるのでしょうか?」とTrendは皮肉を込めて問いかけた。「これは、DDoS攻撃、中間者攻撃、ゼロデイ攻撃、IoTマルウェア、マルウェア、未修正の脆弱性攻撃といった、日常的な脅威からの保護に加えて必要な対策です。」
同調査機関はまた、人気のオープンソースサーバー「Home Assistant」などのホームオートメーションプラットフォームが適切に保護されていない場合、オンライン上に無防備な状態になることで生じる脅威についても警告し、「攻撃者がシステムの設定方法や、住宅を制御するオートメーションルールに関する情報を収集できる方法がある」と述べた。
不気味?それとも超不気味?それがMozillaがIoTクリスマスプレゼントに投げかける疑問だ
続きを読む
例えば、安全でないHome Assistantの導入環境にアクセスできる攻撃者は、ログにアクセスして住宅所有者の携帯電話がネットワークから離脱し、再び接続した時刻を特定できる可能性があります。これにより、泥棒は侵入時に邪魔される可能性が最も低い時間帯を割り出すことができます。不注意な住宅所有者は、帰宅時にスマートドアロックが自動的に開くように設定することさえあります。Trend誌によると、賢い泥棒は、自分の携帯電話をHome Assistantに「信頼できるデバイス」として追加するだけで、まるで自分の家の所有者であるかのように侵入できるとのことです。
「攻撃者は、既知のデバイスを含む自動化構成ファイルを確認し、攻撃者が所有する新しい信頼できるデバイスをこのファイルに挿入し、それをスマートロック自動化ロジックに追加するだけです。」
非常に狡猾な窃盗犯なら、ガレージのモーションセンサーカメラを使って近くで動きを検知すると写真を撮影し、無料チャットルームアプリSlackの指定チャンネルに転送するホームオートメーションルールを作成することさえできるでしょう。賢い窃盗犯なら、家の持ち主がガレージにいるというSlackの通知を待ってから、誰にも気づかれずに侵入するかもしれません。あるいは、賢い誘拐犯なら、ホームオートメーション技術によってターゲットの存在が決定的に証明されるまで待ってから、急襲するかもしれません。
ホームオートメーションに関して非常に悲観的な見方(誰が、私たち? )をするのは簡単かもしれませんが、すべてが悲観的というわけではありません。
IoTセキュリティは決して容易な問題ではありませんが、不可能な問題ではないと結論付けました。真の課題は、新しいIoTデバイスの開発と、常に進化する[複雑なIoT環境]に追いつくことです。®
