IoT製品が家庭に普及すると情報漏れ放題という恐ろしい未来が到来しかねない

あらゆるモノをインターネットに接続することでさまざまなサービスを生み出す「モノのインターネット(IoT)」端末が普及しつつあります。しかし、IoT端末の普及によって情報漏洩リスクの増大が避けられないという指摘がされており、近年のサイバー攻撃実例を見るだけでそのことを実感できます。

Hackers Broke Into a Casino’s High-Roller Database Through a Fish Tank | Digital Trends
https://www.digitaltrends.com/home/casino-iot-hackers-fish-tank/

セキュリティ対策企業のDarktraceのニコール・イーガンCEOがロンドンで開催されたイベントで、IoT端末のセキュリティリスクに関する話題でカジノのハイローラー(上客)の顧客リストが漏洩した例について述べました。この事件では、カジノに設置された観賞魚用の水槽の温度を管理するIoTサーモスタットのセキュリティホールを利用してカジノのシステムへ侵入され、顧客リストがクラウド経由で流出したとのこと。カジノはまさか観賞魚用品がセキュリティホールになるとは思いもしなかったでしょうが、セキュリティホールに手当てがされていないIoT端末は市場にあふれているとイーガンCEOは述べています。

まったく関係のない観賞魚用品の穴を突かれるのは予想外だとしても、十分に予見できるリスクが現実化する例もあります。家電製品のIoT化を進めるLGはカメラ付きのロボット掃除機「LG Hom-Bot」を販売していますが、このロボット掃除機が乗っ取られることで室内監視装置になるという危険が指摘されています。

100万台以上も売れたヒット商品「LG Hom-Bot」を乗っ取り、室内監視カメラに変える様子は以下のムービーで確認できます。

LG HomeHack – Secure Your IoT - YouTube


なお、このLG Hom-Botのセキュリティホールはセキュリティ企業のCheck PointによってLGに報告されており、専用アプリのSmartThinQをバージョン1.9.2.3以上にアップデートすることで対策可能です。Check Pointによると、ハッカーにとって家庭用IoT製品のカメラ機能は大のお気に入りで、室内の状況をカメラで撮影する機能のあるIoT端末は、サイバー犯罪者のターゲットになっているそうです。

また、イスラエルのベングリオン大学の研究者が既製品のIoT端末16種類についてパスワードが解析できるかを調査したところ、なんと14個の端末のパスワードを解読できたとのこと。この大半が30分以内にボットネットに接続できたことを明かしています。なお、研究者によると大半の利用者がデフォルトのパスワードを変更しないという実態から、端末を分解してリバースエンジニアリングする、というような高度なハッキングを行うまでもなく、Google検索によって工場出荷時のデフォルトパスワードを調べるだけで攻撃され得ると指摘しています。

生活を一変させるほどの便利さをもたらす家庭用のIoT端末ですが、端末自体に含まれる脆弱性と、セキュリティ対策を怠る利用者のおかげで、普及には情報漏洩のリスクが避けられないという問題を抱えています。