• TOP
  • 特集一覧
  • スマートホームのIoTデバイスを狙う脅威と攻撃シナリオ
2019/08/21

スマートホームのIoTデバイスを狙う脅威と攻撃シナリオ

メイン画像

スマートホームのIoTデバイスが侵害された場合、利便性と快適さだけではなくユーザの安全も影響を受ける恐れがあります。

トレンドマイクロは、ホワイトペーパー「IoT Device Security: Locking Out Risks and Threats to Smart Homes」の中で、スマートホームを狙うさまざまな攻撃シナリオについて詳細に解説し、IoTデバイスのセキュリティ課題とリスクについて論じました。

■利便性と快適さをもたらすスマートホームのIoTデバイス

スマートホームのユーザは、離れた場所からでも家庭内のさまざまなデバイスにアクセスし、アプリやWebサイトからインターネット越しにリアルタイムで家庭をモニタリングすることができます。例えば、スマートトイを使って子供とコミュニケーションを取ったり、信頼できる訪問者のためにスマートロックを開錠したりするような特定の操作を遠隔から実行することが可能です。

スマートホームのIoTデバイスは、一連の操作を自動的に実行することも可能です。例えば、スマートコーヒーメーカーはユーザが仕事に行くために起きる時間に合わせてコーヒーを淹れ、スマート冷蔵庫は台所にいるユーザに注文が必要な品目を知らせてくれます。スマートロックはユーザが外出すると自動的に施錠し、留守の間にスマートロボット掃除機がスケジュールに従って部屋を掃除します。

これらは、スマートホームに設置されたデバイスが適切に管理されていることで実現しています。しかしながら、インターネットにつながるこれらのデバイスが遠隔からの攻撃者によって侵害された場合、IoTデバイスが本来の持ち主の意図せぬ動作を取る可能性があります。

■スマートホームのIoTデバイスが侵害されたら何が起こるか?

攻撃者がスマートホームのIoTデバイスを侵害する上で特に利用可能な要素は、既存の脆弱性、設定の不備、そして初期設定のパスワードの使用です。IoTデバイスが侵害された場合、攻撃者はそのデバイスの機能に応じたさまざまな攻撃を実現します。以下に、想定されるいくつかの例を紹介します。

図1:スマートホームのIoTデバイス

図1:スマートホームのIoTデバイス

ドアに取り付けられたスマートロックが侵害された場合、攻撃者によって人の出入りを管理される恐れがあります。スマートロックを侵害した攻撃者は、侵入者や共犯者をスマートホームに招き入れたり、住民を締め出したりといった攻撃が可能になります。

リビングルームにはさまざまなスマートデバイスが設置されています。その1つにユーザの音声による指示を認識して、IoTデバイスに対してコマンドを発行したり、自身が動作したりするスマートスピーカーがあります。仮にスマートスピーカーが侵害された場合、攻撃者によって音声コマンドを勝手に実行される恐れがあります。

キッチンにはスマート冷蔵庫やスマートコーヒーメーカーのようなデバイスがあります。攻撃者がこれらのデバイスの侵害に成功した場合、スマート冷蔵庫に間違った消費期限を登録させたり、大量の食料品を発注させたりすることが可能になります。また、スマートコーヒーメーカーが立て続けにコーヒーを淹れるように命令された場合、ユーザは重大な不便を被ることになるでしょう。

スマートデバイスはお手洗いにも存在します。スマート便座は、適切な水量の感知のようなユーザの役に立つさまざまな機能を備えています。攻撃者はそのような機能のいくつかを利用し、水を流し続けたりウォッシュレットを動作させ続けたりすることでデバイスの正常な動作を妨げることが可能です。

侵害されたデバイスによっては、特定の家族が狙われることもあり得ます。例えば、スマートトイが侵害された場合、攻撃者はそのおもちゃを通して子どもと直接コミュニケーションを取ったり、子どもの活動を密かに記録したりするかもしれません。子どもにとって安全に設計されているはずのスマートトイであっても、侵害に対して脆弱な場合、危害をもたらす恐れがあります。

スマート電球は、地下室から屋根裏部屋に至るまで家の中のいたるところに設置されています。これらのスマート電球は時刻や人の動きの量、または周囲の明るさに応じて点灯または消灯します。このようなシンプルなデバイスであっても、攻撃者はそれを侵害し、迷惑な時間帯に点灯させるなどの操作によってユーザに不便を強いるかもしれません。

家の中を移動する機能を持つスマートロボット掃除機のようなデバイスは、間取りに関する情報を攻撃者に提供します。この間取り情報を利用し、攻撃者はさらなる不正活動を計画するかもしれません。

スマートデバイスが接続されているルータもまた格好の攻撃対象です。攻撃者はルータを侵害することにより接続をリダイレクトしたり変更したりすることが可能です。このことは、スマートホームのネットワークに接続されたあらゆるデバイスが、実際の持ち主にとってそうであるのと同じように、攻撃者にとっても有用だということを示しています。

表1:スマートデバイス侵害時に想定される被害

表1:スマートデバイス侵害時に想定される被害
(新しいタブで画像を開くと拡大表示されます)

■職場におけるIoTデバイスのセキュリティ課題

今回のホワイトペーパーは、スマートホームを中心にIoTデバイスの侵害とその結果に関して議論したものですが、脆弱なまたは設定に不備のあるデバイスが設置された場所であればどこにでも同じ問題が存在します。特定のIoTシステムに対する攻撃の結果はそのシステムが使用されている環境によって変わります。

上述したIoTデバイスの多くは、すべてではないとしても企業のオフィスでも多く見られるものです。例えば、オフィスの給湯室や休憩室には、スマート冷蔵庫やスマートコーヒーメーカーが設置されているかもしれません。スマート電球は、大規模に設置した場合は特に電気代の節約に有効であり、企業のオフィスに導入されていてもまったく不思議はありません。

携帯可能なスマートデバイスやウェアラブルデバイスは家庭と職場の環境を行き来するため、IoTのセキュリティにもう一段階の懸念をもたらします。多くの企業で「Bring Your Own Device(BYOD)」ポリシーの更新が必要になるかもしれません。社員が、スマートウォッチやスマートヨガマットのようなデバイスをオフィスに持ち込み、終業後には家庭に持ち帰ります。もしBYODポリシーに不備があり、脅威を防ぐための十分なセキュリティ対策が取られていなかった場合、別の場所でマルウェアに感染したスマートデバイスがオフィスに持ち込まれ、他のデバイスにマルウェアが拡散してしまうかもしれません。

■被害に遭わないためには

本記事で解説した攻撃シナリオは、侵害したスマートデバイスを利用して攻撃者が実行できる活動を示す以上に、IoTデバイスが人々の生活に溶け込んでいることを見せてくれています。リビングからキッチン、お手洗い、そして屋根裏部屋にいたるまで、家庭のあらゆる場所にIoTデバイスが設置され、人々の暮らしに深く関わっていることは明らかです。このことを踏まえると、IoTデバイスに対する攻撃の影響は大きなものになると言えるでしょう。侵入したサイバー脅威が個人的な被害をもたらす可能性の最も大きな場所は、スマートホームをおいては他にありません。それこそがスマートホームのIoTデバイスを保護するべき一番の理由です。

以下は、スマートホームを保護し、IoTデバイスに対する攻撃者の攻撃を防ぐためにユーザが取ることのできるセキュリティ対策です。

・ネットワークに接続されたすべてのデバイスとその詳細情報を一覧にまとめること
家庭であっても職場であっても、ネットワークに接続されたデバイスは全て責任を持って管理する必要があります。各デバイスの設定、認証情報、ファームウェアのバージョン、そして最新のパッチについて記録してください。この手順は、取るべきセキュリティ対策を見定め、交換や更新が必要なデバイスを特定する上で役立ちます。

・初期設定のパスワードと設定を変更すること
各デバイスの設定が、より強力なセキュリティに向かって整合しているか確認し、そうでない場合は設定を変更してください。総当たり攻撃のような不正アクセスを防ぐために、初期設定のパスワードや弱いパスワードは変更してください。

・修正プログラムを適用すること
修正プログラム(パッチ)の適用は、企業にとって困難な場合があるかもしれません。しかし、修正プログラムは公開されたら迅速に適用することが重要です。パッチの適用により通常のプロセスが影響を受ける場合は仮想パッチの利用を検討してください。

・ネットワークを分離すること
攻撃の拡大を防ぐためには、ネットワークの分離を検討してください。万が一、問題があると思われるデバイスが特定され、それをすぐにオフラインにできない場合、ネットワークから隔離してください。

家庭内のネットワークにつながるIoTデバイスを可視化し、セキュリティ上のリスクが存在しないかをチェックできる「オンラインスキャン for Home Network」のような無料ツールも対策に役立てることができます。

スマートホームのIoTデバイスを狙う攻撃シナリオとユーザが取ることのできるセキュリティ対策の詳細については、ホワイトペーパー「IoT Device Security: Locking Out Risks and Threats to Smart Homes」(英語)も合わせて参照してください。

おすすめの動画

IoTで広がる世界とそのセキュリティ

運営社情報

セキュリティブログ
is702
PageTop