このページの本文へ

前へ 1 2 次へ

スマート家電のパスワードを初期設定のまま使うリスク

2019年08月02日 09時00分更新

文● せきゅラボ編集部

  • この記事をはてなブックマークに追加
  • 本文印刷

IoTを家でフル活用したいなら
リスクがあることにも注意したい

 まず、IoTデバイスのセキュリティとして、バージョンアップの情報などをチェックする、必要があれば最新のパッチなどを適用する、デバイスがもつプライバシーを保護する機能を知る……などが基本的な対策になる。

 デバイスの出荷時のセキュリティ設定は不完全なことも多いため、デバイス名やWi-Fiパスワードをデフォルトから変更する、Wi-FiベースのIoTデバイスを悪意あるアクセスから守るセキュリティ機能をそなえたソフトやルーターなどを導入するといった対応も必要だ。

 また、スマートスピーカーを扱う各メーカーもセキュリティに配慮している。AppleのHomePod、Google Home、Amazon Echoなどは、各社のサーバーに送信する音声記録を暗号化し、外部から悪用されることを防ぐようになっている。これらの機能についても、ユーザーの一人ひとりが知っておくことが肝心といえる。

 IoTデバイスを操作するスマートフォン側のセキュリティにも注意を払わなくてはいけないことは、前述したとおりだ。ソフトウェアとアプリは、常に最新の状態に保っておきたい。面倒がらずにアップデートはこまめにしておこう。また、公式のアプリストアを利用する(非公式のアプリマーケットは利用を控える)のも鉄則。無意味なアプリ名称、詳しくないアプリ説明、ユーザーレビューがない……など、アプリがあやしく思えたなら、ダウンロードを控えたほうがよいだろう。

 インターネットに繋がる機器が家の中に増えれば、それだけ外から狙われるリスクにも用心しなければならない。今回はMcAfee Blogから、「ハッカーはあなたのコネクテッドホームをどのように狙っているのか」を紹介しよう。(せきゅラボ)

※以下はMcAfee Blogからの転載となります。

ハッカーはあなたのコネクテッドホームを
どのように狙っているのか:McAfee Blog

 多くの人々と同様、毎晩眠りにつく前に、あなたはドアや窓の鍵がかかっていることを確認して、家族が外部の脅威から安全に保たれるように細心の注意を払っているでしょう。あなたが見落としているかもしれない唯一のものといえば、枕元に置かれたスマートフォンです。あなたが家の至るところで電波を発しているスマートフォンを集めれば、今や犯罪者が侵入可能ないくつかの鍵のかかっていないドアを持つことになるでしょう。それにより、今夜とは言いませんがいつかは被害を受けるかもしれません。

デジタルエコシステム

 あなたはここ何年かの間にIoT機器を購入し、いつの間にか家中にそれらが設置されている状態かもしれません。音声アシスタント、ベビーモニター、サーモスタット、トレッドミル、ゲームシステム、フィットネスウォッチ、スマートテレビ、冷蔵庫、そしてその他多くの楽しくて役に立つガジェットを持っているかもしれません。あなたはIoT機器を購入するたびにスマートフォンに接続しているでしょう。あなたは今、あなたの周りで成長し続けるデジタルエコシステムを持っているのです。そして、それらの目に見えない送電網にあなたは注意を払っていると思いますが、同様にハッカーたちもそれらを常に狙っているのです。

 あなたの家の中で脈動するこのデジタルフレームワークは、あなたの生活とあなたのデータへのサイバー犯罪者の潜在的な新しい入り口を与えます。デバイスによっては、スマートフォンにアクセスすることで、外出中にホームセキュリティシステムを介して文字通りのドアのロックを解除したり、音声アシスタントを介して家族の会話を盗聴して重要な情報を収集したり、ゲーム機、タブレット、またはラップトップを介して財務情報にアクセスすることができるかもしれません。

デジタルエコシステムを安全に保つために

・工場出荷時のセキュリティ設定を変更する

 スマートテレビ、ドローン、またはサウンドシステムを起動する前に、各製品の出荷時設定を変更し、それを防弾パスワードで置き換えて、 あなたとハッカーとの間に保護層を設けてください。

・ホームネットワークを保護する

 私たちは、さまざまなモノがつながる家に住んでいる、いわば”コネクテッドな人々”です。有線ネットワークは我々の生命線の一部であり、ホームネットワークを保護するために私たちができることの源泉です。そのための1つの方法は、保護機能*が内蔵されたルーターレベルで対策することです。これにより、接続されているデバイスを保護することができるようになります。

*日本では2019年中に展開予定

・ソフトウェアの更新を常に確認する

 サイバー犯罪者たちは、ユーザーがソフトウェアの更新を無視することを望んでいます。それは彼らの仕事をとても簡単にするからです。警告が表示されたら、必ずデバイス、セキュリティソフトウェア、およびIoT製品のソフトウェアアップデートを実行してください。

スマートフォン=フロントゲート

 これらすべてのつながるデバイスへの最も一般的な入り口は、スマートフォンです。ロック画面、アカウントのセキュリティで保護されたパスワード、システムの更新など、携帯電話を保護するために多くのことをしてきましたが、ハッキングについてはまだ対策が不十分です。McAfeeの最近のMobile Threat Reportによると、モバイルハックの範囲と複雑さが驚くべき速さで増加しているため、対策をする必要も増しています。

非表示のアプリ

 最新の統計によると、平均的な人の携帯電話には60〜90のアプリがインストールされています。あなたの家に住む家族のすべてのアプリを合計するとどのくらいになるでしょう?200から500のアプリからハッカーが狙っているのです。ハッカーはデジタルトレンドを重視しています。彼らは多くの人が集まるところに行きます。それは彼らが多くのお金を得ることができる場所だからです。IoT機器を多く所有する人々の多くは、家の中のそれらの機器をスマホのアプリから制御しているため、アプリのダウンロードは平均を超えているでしょう。

 非表示のアプリは、ユーザーをだまして自分の携帯電話にダウンロードさせる方法を取ります。通常、非表示のアプリ(TimpDoorなど)は、ゲームやカスタマイズされたツールをダウンロードすると、Google Playを介してユーザーに配布されます。TimpDoorは、未知のソースからのアプリを有効にするための詳細な指示を与える音声メッセージへのリンクを持つテキストメッセージを介してユーザーと直接通信します。そのリンクは、アプリが終了した後にバックグラウンドで実行されるマルウェアをダウンロードします。ユーザーがこれをダウンロードしたことを忘れそのまま過ごしている間、マルウェアがバックグラウンドで実行され、スマートフォンを介し他の内部ネットワークにアクセスすることができる状態が続きます。常時接続の携帯電話といった接続デバイスの特性をハッカーが悪用した脅威です。

あなたができること

・警戒を怠らない

 テキストメッセージで送信された他のアプリへのトラップやリンクをクリックしてはいけません。

・公式のストアや公式サイトを利用

 公式の信頼できるストアと検証済みのパートナーサイトによってホストされているアプリのみをダウンロードしてください。

・スパムを避ける

 疑わしいリンク、パスワードプロンプト、または偽の添付ファイルを含む電子メールリンク、ポップアップ、またはダイレクトメッセージをクリックしないでください。スパムメールとテキストを削除してブロックします。

・無効にして削除する

 アプリを使用していない場合は無効にします。そして、安全のための習慣として、使用しなくなった携帯電話、タブレット、またはラップトップからは、関連アプリを削除しましょう。

偽のアプリ

 繰り返しになりますが、ハッカーたちは多くの人々が集まるところを狙います。最近では、6,000万超のダウンロード数を誇るFortniteがそれにあたります。Fortniteの大流行は、ハッカーが偽物のFortniteアプリを本物のように偽装することを促し、悪意あるアプリ開発者はダウンロードを合法的に見せるために多大な努力をしています。魅力的なダウンロードを提供し、ユーザーに大量の無料特典と追加サービスを約束します。ユーザーが偽のアプリをダウンロードすると、犯罪者は広告を通じてお金を集めたり、より悪質なアプリへのリンクを含んだテキストメッセージを送信したり、クリプトジャッキングをしたり、またはマルウェアやスパイウェアをインストールすることができます。

ユーザーができる対策

・未知のソースからアプリをインストールしない

 すべてのゲーム会社がGoogle PlayまたはApp Storeを介して配信するわけではありません。これは、ダウンロードしているアプリが正当なものであるかをユーザーが知ることをさらに難しくしています。ダウンロード元のサイトの正当性を確認するために、できる限りのことをしてください。

・疑わしい動きをするアプリケーションを削除

 あなたがアプリをダウンロードし、それがそのサービスの外部にあるものへのアクセスを要求し始めたら、あなたのデバイスからすぐにそれを削除してください。

・定期的に機器を更新

 デバイスを自動的にアップデートすることで、新しいバグや脅威を予防します。

・取引明細書をこまめに確認

 明細書を定期的にチェックして、Fortniteアカウントにリンクされているカードの使用履歴を監視しましょう。アカウントからの繰り返しまたは複数の取引に気付いた場合、または認識できない料金が発生した場合は、直ちに金融機関に連絡してください。

・賢いアプリユーザーに

 アプリの正当性を確認します。あなたが何かをダウンロードする前に他のユーザーレビューを読むこともお勧めします。この方法は、ゲーム内でランクを獲得するためにプレーヤーが使用するゲームハック、クレジット、パッチ、または仮想アセットを販売するパートナーサイトについても同様です。「無料」ダウンロードに注意し、違法なファイル共有サイトは避けてください。無償ダウンロードは、マルウェアの温床になる可能性があります。より安全な、信頼できる提供元からの有料オプションを利用しましょう。

※本ページの内容は、2019年3月23日(US時間)更新の以下のMcAfee Blogの内容です。
原文: Hidden & Fake Apps: How Hackers Could Be Targeting Your Connected Home
著者: Toni Birdsong

※本記事はアスキーとマカフィーのコラボレーションサイト「せきゅラボ」への掲載用に過去のMcAfee Blogの人気エントリーを編集して紹介する記事です。


■関連サイト

前へ 1 2 次へ

カテゴリートップへ

マカフィーは大切なものを守ります。