パソコンやスマホと同じぐらい
IoTデバイスのセキュリティに気をつけて
家にあるデバイスが、音声操作によって、日用品の購入、音楽の再生、質問への回答など、さまざまなことに活用できる……。これらはメリットでもある一方、重要な情報を口に出して操作する以上、デバイス本体が認識する情報をもし外部からチェックできてしまえば、悪意を持った人間には格好の標的となる。
たとえば、自宅のスマートスピーカーがハッキングされてしまった場合、個人情報や家族のプライバシーが丸裸になる可能性がある。寝室やリビングなど、プライベートな場所に配置されることが多いことを考慮すれば、操作しようとしていない状態であっても、スマートスピーカー本体がさまざまな音声を拾うことになりやすい。場合によっては、盗聴器が仕掛けられたような状態になってしまうことも、ありえない話ではない。
さらに、テレビ番組やインターネットビデオにコマンドを埋め込むなど、ほかのスピーカーデバイスを介してアクションを実行するようにスピーカーを操作することも、原理的には可能だ。スマートスピーカーがハッキングされて、そこから家中のIoTデバイスまでもが操作されるおそれもある。
もちろん、各メーカーがセキュリティに配慮していないわけではない。AppleのHomePod、Google Home、Amazon Echoなどは、各社のサーバーに送信する音声記録を暗号化し、外部から悪用されることを防ぐようになっている。今後はより一層の普及が予想されるため、防犯対策をうたう製品も増えていくだろう。
では、ユーザーがスマートスピーカーや、IoTデバイスなどを使用するにあたって気をつけることはなんだろうか。簡単に言えば、パソコンやスマートフォンなどと同じだ。バージョンアップの情報などをチェックする、必要があれば最新のパッチなどを適用する、デバイスがもつプライバシーを保護する機能を知る、などが基本的な対策になる。
とくに、スマートスピーカーとIoTデバイスとの連携を考えているなら、IoTデバイスを守る対策も忘れないようにしたい。デバイスの出荷時のセキュリティ設定は不完全なことも多い。デバイス名やWi-Fiパスワードをデフォルトから変更するのはもちろん、Wi-FiベースのIoTデバイスを悪意あるアクセスから守るセキュリティ機能をそなえたソフトを導入するのも肝心だ。
今回は、マカフィーの「2019モバイル脅威レポート」を解説しつつ、音声アシスタントやIoTデバイスのセキュリティについて解説した、McAfee Blogの記事「バックドアと音声アシスタントの脅威:2019モバイル脅威レポートの重要ポイント」を紹介しよう。(せきゅラボ)
※以下はMcAfee Blogからの転載となります。
バックドアと音声アシスタントの脅威:
2019モバイル脅威レポートの重要ポイント:McAfee Blog
今日では、私たちは「スマート」と言われる最新のものにすっかり依存しているようです。さまざまなデバイスが私たちのデジタルライフになくてはならないものになり、大量の個人情報をそこに託しています。実際にこの技術は頻繁に利用され、毎分4,800台のデバイスがインターネットに接続され、その規模はますます増加する見通しです。スマートデバイスによって私たちの生活はより便利で楽しいものになっていますが、これらのデバイスは便利である反面、貴重な個人データの宝庫であり、サイバー犯罪者にとっても好都合なものであることを理解しておく必要があります。ハッカーがデータの搾取をどの程度計画しているかを調べるために、マカフィーは最新の2019モバイル脅威レポート(英語)で、モバイル脅威の展望を詳細に掘り下げました。レポートでは、新しいスパイウェア、モバイルマルウェア、IoTの攻撃対象範囲など、最も重大な脅威の傾向について分析しています。これらの傾向と、あなたのすべてのデバイスを安全を保つ方法を見ていきましょう。
目次
RedDawnとFoulGoal
仮想バックドア
家のあらゆるところで響く声
デバイスを安全に保つために
1.怪しい動作に気づいたら、アプリを削除
2.ホームネットワークを保護することで自身のデバイスを保護
3.セキュリティソフトウェアを更新し常に最新の状態に
4.デバイスの出荷時のセキュリティ設定を変更
RedDawnとFoulGoal
2018年のレポートで私たちは、モバイルデバイスに対する標的型攻撃が増加すると予想しましたが、RedDawnとFoulGoalの出現でその予測は現実のものとなりました。特に、RedDawnは北朝鮮からの亡命者をターゲットにし、スパイウェアが写真、連絡先、SMSメッセージなどの被害者に関する個人データを盗みだそうとするものです。
もう一つのFoulGoalは、Golden Cupと呼ばれるアプリを使って被害者のデバイスにスパイウェアをインストールするもので、昨年のサッカーのワールドカップ期間中に発生しました。このアプリはユーザーに、ロシアで開催された2018年FIFAワールドカップの試合のライブストリーミングや過去のワールドカップの記録が検索できるサービスを提供し、ユーザーの電話番号、デバイスの詳細、インストールされたアプリを盗むだけでなく、スパイウェアをダウンロードしてSMSメッセージ、連絡先、GPSの詳細、音声録音に感染を拡大させました。
仮想バックドア
私たちが使っているスマートフォンは、照明からドアロック、キッチン家電にいたるまでスマートホーム用のリモコンとなり全てを制御しています。サイバー犯罪者がユーザーに罠をしかけ、バーチャルなバックドアを開けっ放しにするための方法を見つけるのは時間の問題でしょう。AndroidベースのマルウェアファミリーであるTimpDoorの手法を説明しましょう。2018年3月に最初に確認されると一気にモバイルバックドアファミリーの主力となり、ユーザーをだまして偽のボイスメッセージアプリをダウンロードさせるスミッシング攻撃を仕掛けました。
こうした仮想バックドアは、常時接続の携帯電話といった接続デバイスの特性をハッカーが悪用するようになったことで、かつてないほど深刻な脅威となっています。Google Playのようなアプリストアを通じ、トロイの木馬としていったん配布されると、これらのバックドアはアドオンゲームやカスタムツールを装うことができます。ほとんどはアプリストアから即座に削除されますが、ハッカーは依然としてその配布方法を利用し、人気のあるWebサイトを悪用してユーザーをだまし、未知のソースを有効にさせるような攻撃を企てる可能性があります。
家のあらゆるところで響く声
現在では2,500万を超える音声アシスタントやスマートスピーカーが世界中で使われています。単純なクエリから家中のIoTガジェットの管理まで、これらのデバイスは私たちの日常生活で大きな役割を果たしています。しかしIoTデバイスの多くは、最も基礎的なセキュリティにさえ対応できていません。パスワードは容易に推測でき、バッファーオーバーフロー問題が際立ち、非パッチの脆弱性を抱えています。そのためサイバー犯罪者にとって音声アシスタントは利用価値が高く、潜在的にうまみのある攻撃経路になります。
家の中にある一般的な音声アシスタントの攻撃対象範囲はとても広範です。サイバー犯罪者はマイクにアクセスするか、ストリーミングを盗聴することで、すべての音声を監視できます。さらに、テレビ番組やインターネットビデオにコマンドを埋め込むなど、他のスピーカーデバイスを介してアクションを実行するようにスピーカーを操作することもできます。犯罪者は悪意のあるスキームをサポートするために、カスタマイズされた動作を改変することさえ可能です。ところが、最も緊急な脆弱性の中には、スマートプラグ、ドアロック、カメラ、接続機器といった関連するIoTデバイスに起因するものもあります。それぞれのデバイスには独自の欠陥があり、ほかのホームネットワークに対して無制限にアクセスできる可能性があります。
デバイスを安全に保つために
マカフィーは、現在と将来のいかなる脅威からもユーザーを護り、家庭およびモバイルのソリューションを進化させるために日々取り組んでいます。また、みなさんご自身でできる対策もあります。所有するデバイスを自分の手で安全に保つためのポイントをご紹介します。
1.怪しい動作に気づいたら、アプリを削除
提供されていないサービスへのアクセスをアプリから要求されたり、信頼できるソースに基づかないアプリだったりした場合は、自分のデバイスから即座に削除してください。
2.ホームネットワークを保護することで自身のデバイスを保護
「スマートホーム」の発想を利用したり、デバイスを接続する一方で、大規模なコネクティビティに関する発想を受け入れ、これらの接続を安全に保つという重大な責任を自覚する必要があります。そこで、ルーターレベルで自動的に接続デバイスを護るビルトインネットワークセキュリティ*1を検討してみてください。
3.セキュリティソフトウェアを更新し常に最新の状態に
アンチウイルスソリューションであれ、包括的なセキュリティスイートであれ、必ずセキュリティソリューションを常に更新するようにしてください。ソフトウェアやファームウェアのパッチは進化を遂げており、新たに検出された脅威と闘うよう作成されています。指示される度に更新するよう心がけてください。自動更新を設定しておけば申し分ありません。
4.デバイスの出荷時のセキュリティ設定を変更
製品に関して言うと、多くのメーカーは「セキュリティ第一」の発想がありません。このため、あなたのデバイスは開封した途端に潜在的脆弱性を抱えることになります。出荷時の設定を変更することで、スマートデバイスのセキュリティを強化することができます。
※本ページの内容は、2019年2月26日(CET)更新の以下のMcAfee Blogの内容です。
原文:Open Backdoors and Voice Assistant Attacks: Key Takeaways from the 2019 Mobile Threat Report
著者:Radhika Sarang
*日本では2019年中に提供開始予定
※本記事はアスキーとマカフィーのコラボレーションサイト「せきゅラボ」への掲載用に過去のMcAfee Blogの人気エントリーを編集して紹介する記事です。
■関連サイト