WIREDに掲載されているすべての製品は、編集者が独自に選定したものです。ただし、小売店やリンクを経由した製品購入から報酬を受け取る場合があります。詳細はこちらをご覧ください。
モノのインターネット(IoT)のセキュリティ問題は、依然として解消される兆しを見せていません。スマートドアベルからオフィスプリンターまで、数十億台ものデバイスが接続されたネットワークは、プライバシーの問題を抱え、潜在的なハッカーによる攻撃にさらされていることが頻繁に発見されています。
こうしたインシデントの最新事例として、Googleの人工知能(AI)搭載スピーカー「Google Home」とストリーミングデバイス「Chromecast」が、ユーザーの正確な位置情報を漏洩してしまうことが判明しました。Tripwireのセキュリティ研究者クレイグ・ヤング氏が明らかにしたこのバグにより、約10メートルの精度でユーザーの位置情報が漏洩してしまう可能性があるとのことです。
「これまで3つの環境でしかテストしていませんが、いずれの場合も位置情報は正しい住所と一致しています」と、ヤング氏は自身の研究と同時期に公開されたブライアン・クレブス氏へのインタビューで語った。HomeデバイスとChromecastデバイスが受信する一部のコマンドは、安全でないHTTP接続を介して、いかなる認証も受けずに送信されるため、位置情報が抽出される可能性がある。
プライバシーの問題にはいくつかの注意点があり、悪意のある者によって悪用される可能性は低いと考えられます。Young氏が作成した攻撃の例では、ユーザーがウェブページを開いて約1分間そのページ上に留まる必要があります。この間、Wi-Fiネットワークがスキャンされ、接続されているGoogleデバイスがハイライト表示されます。これにより、それらのデバイスの位置情報が取得されます。
「今回のデータ漏洩の真の問題は、家庭用ネットワークがもはや『信頼できる』環境とはみなされなくなったことです」と、プリンストン大学コンピュータサイエンス学部のノア・アプソープ氏は述べています。彼は、多くのデバイスやソフトウェアが、同じWi-FiやBluetoothネットワーク上で通信を送信する際に認証を求めない可能性があると説明しています。
「今回のデータ漏洩は、IoTが、潜在的に脆弱または悪意のあるIoTデバイスの流入から保護するために、これまで信頼されていた環境の強化をいかに必要としているかを示している」とアプトソープ氏は続ける。ヤング氏のブログ記事では、「ローカルネットワーク上で認証情報なしでアクセスできるデータは、敵対的な攻撃者にもアクセス可能であると想定すべきだ」と付け加えている。彼は、デバイスから発行されるすべてのリクエストは認証されるべきであり、認証されていない場合は、含まれる情報は可能な限り少なくすべきだと主張している。
ヤング氏が当初Googleにこの問題を報告したところ、Googleは「意図された動作」であり、バグを修正する予定はないとの返答をしました。しかし、クレブス氏がGoogleに連絡を取った後、Googleは考えを変えました。修正パッチは7月末にリリースされる予定です。
続きを読む: ロシアの大規模ハッキング作戦から誰も安全ではない
Google HomeとChromecastは当初の意図通りに動作していたかもしれませんが、プライバシー問題はIoTをめぐるセキュリティとプライバシーに関する懸念事項の1つに過ぎません。6月には、セキュリティ研究者がAndroidアプリを使って「破られない」スマートロックを2秒で開けることができたという事件が発生。ベビーモニターに問題があることが発覚し、その他のセキュリティカメラにもバグ修正プログラムがリリースされました。
2016年10月、Miraiボットネットがセキュリティの低いIoTデバイスを乗っ取り、大規模な分散型サービス拒否(DDoS)攻撃を開始し、インターネットの大部分をダウンさせました。このボットネットは、IoTデバイス開発者にとって、セキュリティ問題によって引き起こされる可能性のある損害について、最も厳しい警告となりました。英国とロシアの両政府は、ロシアがIoTガジェットを含む「数百万」台のコネクテッドデバイスを標的にしていたことを認めています。また、50万台のルーターでマルウェアが検出され、それらのルーターを停止させる可能性がありました。
セキュリティ研究者たちは、IoTのセキュリティ問題の改善に取り組んでいます。GoogleのIoT向けオペレーティングシステム「Android Things」には、開発者向けの自動セキュリティアップデートが含まれており、3年間有効です。MITの研究者たちは、IoTデバイスを簡単に暗号化できるチップを開発し、米国当局はIoTデバイス向けのセキュリティ法を策定しています。
しかし、IoTセキュリティ強化に向けたこうした取り組みは、製品サイクルの都合上、効果を発揮するまでには時間がかかるでしょう。「新しいデバイスにはより最新のセキュリティプリミティブが搭載されていますが、古いデバイスは依然として脆弱です」と、ブラウン大学コンピュータサイエンス学部の助教授であるセオフィラス・ベンソン氏は述べています。「さらに、多くの大手企業がセキュリティ問題に積極的に取り組んでいる一方で、セキュリティに関する専門知識の不足や、セキュリティ関連の問題に効果的に対処するための十分なリソースの不足により、対応が遅れているメーカーも存在します。」
では、中小規模のメーカーは何をすべきでしょうか?PAコンサルティングのデジタルトラストとサイバーレジリエンスの専門家であるデビッド・アレクサンダー氏は、メーカーは製品を急いで発売するのではなく、「設計段階からのセキュリティ」について考えるべきだと述べています。
「小規模メーカーは、コストよりもセキュリティと品質を重視する方針を正しく確立することに注力すべきです」とアレクサンダー氏は語る。「これは、消費者に自社のデバイスに対する安心感と信頼感を与えるだけでなく、小規模メーカーを競合他社との差別化に繋げることにもつながります。」
この記事はWIRED UKで最初に公開されました。
