安物のIoT機器は、たとえゴミ箱に叩き込んだあとでも持ち主を裏切り続ける

次の記事

任天堂が日本で初めての直営店を今秋渋谷パルコにオープン

格安のスマート電球やセキュリティカメラを購入したときの最悪のリスクは、セットアップに手間がかかるとか、設定できることが少ないことだと考えるかもしれない。しかし、こうした雑なガジェットがセキュリティリスクであるのは、プラグインされている間だけではない。ゴミ箱の中にあるときさえ、あなたのネットワークを危険にさらすかもしれないのだ。

こうした、いわゆるIoTガジェットは小さくてかなり単純なものだが、それでもあらゆる目的と用途のために用いることのできる、本格的なコンピューターなのだ。それほど多くのことをする必要はないかも知れないが、機器が利用者のプライベート情報を暗号化しないまま世界にばらまいたり、アクセスしてきたものにルート権限を渡したりしないように。よくある基本的な予防策は講じておく必要がある。

Limited Resultsが(Hack a Dayを介して)調査を行った低コスト「スマート」電球の場合には、問題はそれらが接続されている間に行うことではなく、それらがその小さな頭脳の中に保存している情報と、その保存方法だった。

彼らがテストしたすべての電球は、内部のチップに保存されている情報を保護することに対するセキュリティを、まったく持っていないことが証明された。回路基板を露出させた後、数本のリード線を接続したところ、どのデバイスもそのブートデータを出力したあと、コマンド待機状態になった。

データは例外なく全く暗号化されていなかったが、そうしたものの中にはデバイスが接続されていたネットワークへのワイヤレスパスワードなども含まれていた。1つのデバイスなどは、RSAの秘密鍵も公開していた、この秘密鍵はデバイスが(更新や、ユーザーデータのクラウドへのアップロードなどのために)接続するサーバーへの、セキュアな接続を確立するために使われるものだ。こうした情報が、この電球をゴミ箱から拾い上げたり、屋外の設備から盗んだり、あるいは中古品として買った人なら、手に入るのだ。

「真面目な話、IoTデバイスの9割はセキュリティを考慮せずに開発されています。これは惨事以外の何物でもありません」とLimited Resultsはメールに書いている。「私の調査は、LIFX、XIAOMI、TUYA、およびWIZの4つの異なるデバイスをターゲットにしています(まだ全ての結果は発表されていない)。同じデバイス、同じ脆弱性、そして時にはまったく同じコードさえもが中に入っています」。

現在、これらのデバイスに上で公開されている特定の情報は、それ自体ではそれほど有害ではないものの、もし誰かがその気になれば、複数の方法でそれを活用することができる。ここで注目すべき重要な点は、こうしたデバイスに注がれた注意の全くの欠如である。コードに対してだけではなく、構造に対する注意も欠如しているのだ。そうした商品は、安全性も、セキュリティも、そして寿命さえ考慮していない市販のワイヤレスボードに、単に簡単なケースをとりつけただけなのだ。そしてこの種のことは、決してスマート電球に限定されるものではない。

こうしたデバイスは皆、AlexaやGoogle Home、もしくはその他の標準規格をサポートしていることを誇らしげに主張している。こうした主張は、ユーザーに対してこれらのデバイスが、何らかの形で認定され、検査され、あるいは何らかの基本規格に合格しているという誤った認識を与える可能性がある。

実際は、それらのすべての機器が、本質的に全くセキュリティを持たないことに加えて、中にはその(導電性の)金属ケースと基盤の間を絶縁しているものが、粘着性の適当な紙に過ぎないものもあった。このようなものを使っていては、漏電火事や少なくとも短絡事故が起きるのを待っているようなものだ。

他の種類の電子機器でも同様だが、ある機器が他の機器よりもはるかに安価であるのは、そうなるだけの理由が常にあるのだ。だが、安物のCDプレーヤーの場合には、最悪でも曲がスキップしたりディスクに傷が付くくらいだ。だが、安物のベビーモニター、安物のスマートコンセント、そして安物のインターネット接続ドアロックの場合には、そんな程度の被害では済まない。

私は別に、世の中のスマートガジェット全てに関して、プレミアムバージョンだけを買う必要があると言いたいわけではない。消費者たちが、そうした(いい加減に作られた)デバイスをインストールすることで、どのようなリスクに晒されることになるかに自覚的であるべきだと言いたいのだ。

あなた自身のリスクを限定したい場合に、簡単にできる手段のひとつは、スマートホームデバイスなどを、サブネットやゲストネットの上に隔離してしまうことである。自分のデバイスと、もちろんルーターが、パスワードで保護されていることを確認しよう。そしてパスワードを定期的に変更するなどの常識的な手段を講じよう。

画像クレジット: Limited Results

[原文へ]
(翻訳:sako)

【関連記事】
民泊向けIoT鍵受け渡しサービス運営Keycafeが資金調達
KDDIなどが五島をマグロ養殖基地化するIoTシステムの実証実験に成功
IoT/M2M関連ソリューション提供のアプトポッドが8億調達
ウミトロンがチチカカ湖でサーモントラウト向けIoTプロジェクト開始
IoT時代の授乳室「mamaro」が新たに10箇所に導入