ネットワーク接続されたベビーモニターからスマートスピーカーまで、IoTデバイスは現代の家庭において普及が進んでいます。IoTデバイスは便利で使いやすいため、まるで一つの家庭全体を手助けしてくれる完璧なガジェットのように見えるかもしれません。しかしながら一方で、その不十分なセキュリティ基準のため、このデバイスはまた簡単に第三者、つまりサイバー犯罪者によって侵害されてしまいます。実際、マカフィーのAdvanced Threat Research(ATR)チームは、いくつかあるIoTデバイスの一つに欠陥を見つけました。欠陥が見つかったのはWi-Fi接続できるコンセント、Belkin社の「Wemoインサイトスマートプラグ」という製品です。※日本でも購入が可能な製品です。
我々のATRチームはこのデバイスの脆弱性を正確に把握してすぐに、このIoT製品の欠陥を利用しいくつかの種類のサイバー攻撃をテストしました。本チームはまもなく、攻撃者がこの脆弱性を利用し、スイッチをオフにしたり、あるいは過負荷を掛けたりすることができるということを発見しました。さらにこのスマートプラグは、脆弱性を持つ他の多くのIoTデバイスと同様に、潜在的ハッカーたちが家庭全体のWi-Fiネットワークに不正アクセスできるゲートウェイを生み出してしまうという欠陥を持っています。実際、私たちのチームはWemoを「中間媒体」として利用することにより、このネットワーク上のオープンホールを通じてテレビのオン/オフを行うことができました。
IoTデバイスを利用の際に確認・注意すべき4つのポイント
ATRチームのメンバーは、すでにこの脆弱性を5月21日にBelkin社へと報告しています。このようなことは珍しいことではなく、あなたがWemoユーザーであるか否かに関わらず、自分が利用しているすべてのIoTデバイスを保護するために、積極的なセキュリティ対策を講じるのは重要なことです。ぜひ以下のアドバイスを参考にしていただき、確認や対策を行うことをお勧めします。
1.IoTデバイスを購入するときは、セキュリティを最優先にして選択
あなたがさらに別のIoTデバイスを購入しようと考えているのならば、まず調査をしてから購入するようにしましょう。その際、セキュリティ基準を念頭に入れて調べるようにしてください。製品およびメーカーを単純に検索するだけでも、たいていはリサーチとして十分です。
2.初期パスワードは変更し、アップデートも確認
あなたが接続機器を購入した場合は、まず初期パスワードを最優先で変更してください。メーカーが設定している初期パスワードは、誰でも知ることができるものなので、犯罪者によって簡単に破られてしまいます。また、あなたが所有しているデバイスのソフトウェアは、ある時点でアップデートされる必要があります。多くの場合、デバイスはセットアップされた時点でアップデートが必要です。デバイスに初めて電源を入れたら、まずメーカーが提供する何らかのアップデートまたはパッチがあるかどうかを確認しましょう。
3.ファームウェアは最新の状態を維持
しばしば、メーカーはこれら潜在的脆弱性からの保護を目的として、ソフトウェアのアップデートを提供します。ソフトウェアを常に最新の状態にしておくために、もし可能ならばデバイスを自動アップデートに設定してください。自動アップデートができない場合、アップデートが利用可能なときに、いつでも自分のファームウェアをアップデートするよう心掛けてください。
4.IoTの基盤となる、ご家庭のインターネット環境のセキュリティ対策を
これらのスマートホームデバイスは、ご家庭のWi-Fiネットワークに接続しなければなりません。したがってデバイスが脆弱な場合、結果的にご家庭のネットワーク自体も脆弱にしてしまう可能性があります。家にあるすべてのIoTデバイスをロックダウンすることは難しいかもしれませんので、ルーターレベルでのセキュリティ保護を行うなどの対策を行ってください。
※本ページの内容は、2018年8月21日(US時間)更新の以下のMcAfee Blogの内容です。
原文:McAfee ATR Team Discovers New IoT Vulnerability in Wemo Insight Smart Plugs
著者:Gary Davis