Wi-Fi接続対応のコーヒーメーカーは「ランサムウェアに感染して身代金を要求される」可能性がある

セキュリティ企業Avastに勤めるエンジニアのMartin Hron氏が、IoT対応の旧型コーヒーメーカーをハッキングして、「コーヒー生成システムの操作権限を奪取して、電子パネルに身代金メッセージを表示させる」ことに成功し、IoTデバイスの危険性を立証しました。乗っ取られたコーヒーメーカーの抽出口から熱湯が噴出し、コーヒーミルは永遠に回転し続けるという状態になる……という様子がムービーで示されています。

The Fresh Smell of ransomed coffee - Avast Threat Labs
https://decoded.avast.io/martinhron/the-fresh-smell-of-ransomed-coffee/

When coffee makers are demanding a ransom, you know IoT is screwed | Ars Technica
https://arstechnica.com/information-technology/2020/09/how-a-hacker-turned-a-250-coffee-maker-into-ransom-machine/

Hron氏が公開した、コーヒーマシンをハッキングするムービーが以下。

What a hacked coffee machine looks like. - YouTube


今回実験に用いられたのは、SMARTER製のコーヒーメーカー。

このコーヒーメーカーのファームウェアを書き換えて……

スイッチオン。

すると電子パネルに「WANT YOUR MACHINE BACK？(このマシーンを取り戻したいか？)」というメッセージと、身代金の要求を記したURLや……

悪意のある行為であることを示す悪魔アイコンが繰り返し表示されるように。

さらにコーヒー生成システムがハッキングされたため、抽出口からは熱湯が噴出し、コーヒーミルは永遠に回転し続けるという状態に。Hron氏によると、この状況は電源を引き抜くまで永遠に続くそうです。

実験に用いられたSMARTER製のコーヒーメーカーは、スマートフォンアプリとの連携できる機能が特徴の1つですが、この連携機能のために安全でない接続に対しても安全なWi-Fiアクセスポイントと誤認して動作するという欠陥が存在します。Hron氏はこの欠陥を突いて、ファームウェアを逆アセンブルして悪意のあるコードを実行できるように書き換え、コマンドでファームウェアを強制的に更新しました。

今回の実験は概念実証的なもので、コーヒーメーカーをハッキングする事前準備として、コーヒーメーカーに物理的に接触するか、コーヒーメーカーと接続している無線ルーターをハッキングするという工程が必要でした。コーヒーメーカーがハッキングされるよりも無線ルーターがハッキングされるほうが問題が大きいため、コーヒーメーカーがハッキングされるのは比較的小さな問題といえます。

しかし、Hron氏は「今回の実験は、IoTデバイスのソフトウェアには欠陥が存在する場合があり、重大な問題を引き起こす可能性があるということを立証するものです。今回は実証されませんでしたが、場合によってはIoTデバイスからルーターやコンピューターなどを攻撃できる可能性があります」と説明した上で、「一般的な冷蔵庫の寿命は17年ですが、開発元はスマート機能のためにソフトウェアアップデートをどの程度の期間サポートすると思いますか？IoTデバイスは爆発的に販売台数が増加していますが、サポートは持続しない傾向があり、ネットワーク侵害やデータ漏えい、ランサムウェア攻撃、DDoSなどに悪用される可能性があります」と主張。「こんにちの『スマート』デバイスには信頼が置けないかもしれません」とコメントしています。