COVID-19の流行にともない、多くの人がIoTデバイスの恩恵を受けフィットネスの習慣をジムからリビングルームへシームレスに移しました。IoT(Internet of Things)とは、センサーやソフトウェアが組み込まれたデバイスを相互に接続し、インターネットを介して情報を収集・共有することを意味します。バーチャルフィットネスに使用される代表的なIoTデバイスとしては、デジタルインターフェースを備えたフィットネスマシンや、フィットネストラッカーなどのウェアラブル端末があります。このようなデバイスによってワークアウトの習慣を促進する一方で、オンラインセキュリティーにもたらすリスクに関しては、多くの人が認識していません。McAfee Labs Threats Reportでは、COVID-19のパンデミックが始まって以降、新たなIoTマルウェアが7%増加したと報告しています。パフォーマンスを低下させることなく、デバイスを安全に使い続けるために、ユーザーが対応するべきことがあります。まず、デバイスがサイバー攻撃を受けやすい理由を理解することが必要です。
IoTデバイスが脆弱である理由
ノートパソコンや携帯電話と同じように、IoTデバイスはインターネットに接続して使用します。IoTデバイスは、ファームウェア、ソフトウェア、オペレーティング・システムを備えた組み込みシステムを持っているため、その他のデバイスと同様にマルウェアやサイバー攻撃などに晒され脆弱です。
IoTデバイスが脆弱である理由のひとつとして、そのアップデート構造、そしてアップデートがされないことがあげられます。IoTデバイスには、ノートPCや携帯電話のような厳格なセキュリティーアップデートがありません。そのため、頻繁にアップデートが行なわれず、場合によっては一度もアップデートが行なわれないことがあります。
新しいモデルが発売されると、古いデバイスは開発者にとっての優先度が下がり、最新のデバイスほど頻繁にはアップデートされなくなります。さらに悪いことに、開発者が倒産してしまった場合には、既存の脆弱性を更新する方法すらありません。
このように、アップデートが行なわれない場合、サイバー犯罪者はデバイスに侵入し、ハードウェアコンポーネントを利用することができます。これはユーザーにとって大きなリスクとなります。例えば、デバイスのGPSによって現在地を特定したり、ビデオカメラやオーディオ技術を使ってプライベートな会話を盗聴したりすることが可能です。
また、パッチが適用されずに脆弱性を持ったIoT機器は、ハッカーにとってはホームネットワークに侵入して他の機器に到達するために都合の良い入口です。デバイスが他のデバイスやサーバー間で伝送するデータを暗号化していない場合、ハッカーはこれを傍受して通信を偽装できます。なりすましとは、ハッカーが正当な送信元(この場合、バックエンドサーバーやIoTデバイス)になりすまして、偽の情報を送信することです。例えば、ハッカーは、フィットネストラッカーなどのウェアラブル端末とサーバー間の通信を偽装して、トラッキングデータを操作し、過度の身体活動レベルを表示させることができます。そして、保険会社や金銭的なインセンティブプログラムを提供しているサードパーティのウェブサイトにこのデータを提供することで、金銭的な利益を得ることが可能です。
また、ハッカーは、機器の脆弱性を利用して、同じネットワーク上の他の機器にマルウェアを拡散させ、ボットネット(自動化されたタスクを実行するようにプログラムされた、相互に接続された機器によるネットワーク)を構築することもできます。そして、このボットネットを利用して、DDoS攻撃(Distributed Denial of Service)や、中間者攻撃(Man in the Middle)を仕掛けることが可能です。
IoTデバイスを保護するための4つのヒント
IoTデバイスによって健康状態や身体的パフォーマンスをモニターするかどうかに関わらず、デジタルセキュリティーにおよぼすリスクを最小限に抑えるために予防措置を講じることは不可欠です。デバイスをフィットネスの習慣に安全に取り入れるための対策を4つご紹介します。
1. ルーターの安全対策
既定の名前とパスワードは、ハッカーにとって格好の標的です。ルーターのセキュリティーを確保する際に、最初に対策を講じてください。デフォルトのルーターの名前は、メーカー名やモデル名が含まれていることがあります。この名前を変更することでルーターのモデルを特定できなくなるため、ハッカーがホームネットワークに侵入する機会を減らすことが可能です。そして、効果的な方法は、ルーターのパスワードを長く、複雑で、推測しづらいものにすることです。
次に、Wi-Fi Protected Access 2(WPA2)以上の最高レベルの暗号化を有効にしてください。WPAやWEP(Wired Equivalent Privacy)などの古い暗号化プロトコルを採用したルーターは、ハッカーが試行錯誤してユーザー名とパスワードを推測するブルートフォース攻撃の影響を受けやすくなります。WPA2以上の暗号化方式では、許可されたユーザーだけが同じネットワークを使用できるようになります。
最後に、ゲストネットワークを作成して、IoTデバイスをラップトップや携帯電話などの重要なデバイスから分離します。ハッカーがIoTデバイスに侵入しても、その被害は特定のネットワーク上のデバイスに限定されます。
2. 定期的なアップデート
アップデートは、通常のバグの修正やアルゴリズムの変更だけでなく、デバイスのソフトウェアの脆弱性を調整するために重要です。
特に、デバイスメーカーはアップデートの有無をわかりやすく知らせてはいないことも多いため、デバイスメーカーのアップデート情報を常に把握するようにしてください。定期的にメーカーのウェブサイトにアクセスして、影響のありそうなニュースや情報を見逃さないようにしてください。また、IoTデバイスに対応したアプリのアップデートも忘れずに行ないましょう。設定で定期的な更新を自動的に行なうようにしておけば、手動で更新する必要はありません。
3. リサーチ
IoTデバイスに多額の投資をする前に、リサーチを行ないましょう。これらのデバイスが信頼できるベンダーのものかどうかを確認してください。そのベンダーは過去にデータ漏洩を起こしたことがあるのか、それとも高セキュリティー製品を提供しているグレードAの実績であるかということなどが判断材料になるでしょう。
また、IoTデバイスが収集する情報とベンダーがその情報をどのように使用するのか、他のユーザーや第三者に何を公開しているかということにも注意しましょう。PIPEDAのルールに従ったプライバシーポリシーによってユーザーのデータを保護していますか?
何よりも、プライバシーや情報の使用に関してどのようなコントロールができるか理解しましょう。IoTデバイスによって自分の情報を収集されないように設定することができる場合や、収集したデータにアクセスして削除することが可能な場合は、良い兆候です。
4. 不要な機能の無効化
次回、スマートウォッチでジオロケーションを有効にしてランニングをする際には、バーチャルなセキュリティー、さらには物理的な安全性にどのようなリスクがあるかをもう一度考えましょう。フィットネスのパフォーマンスを最適化するために必要な機能だけを有効にすれば、セキュリティーを強化でき、ハッカーがその機能を利用してプライバシーを侵害する足がかりにすることを防げます。
セキュリティー対策の強化
IoTデバイスは、その入手のしやすさと使いやすさから、家庭内でのエクササイズを可能にしました。しかし、IoTデバイスは、フィットネス体験を最適化する機能を備えているにもかかわらず、その性質上、個人のプライバシーやオンラインの安全性を脅かす多くの脅威の一つとなっています。素晴らしいワークアウトを行なってフィットネス効果を高めるためにも、日常の運動習慣に安全にIoTデバイスを取り入れるため、セキュリティー対策を始めてください。
最新の状態を維持
日々のニュースからの情報収集は重要です。またデジタルの安全性を維持するための情報やマカフィー製品に関する最新情報、および最新の消費者向けおよびモバイルセキュリティーの脅威に関する最新情報を入手するには、Twitterで@McAfee_Home(US)または@McAfee_JP_Sec(日本)をフォローし、ポッドキャストHackableをお聞きください。
※本ページの内容は2021年5月14日(US時間)更新の以下のMcAfee Blogの内容です。
原文:How to Safely Incorporate IoT Into Your Fitness
著者:Jean Treadwell