この画像を大きなサイズで見るスマホやPCだけでなく、家電をはじめとするあらゆる物をインターネットに接続してしまおうというのが、いわゆる「モノのインターネット(IoT)」だ。
ネットの膨大な情報を利用し、より高度な制御を目指すそのコンセプトはいかにも未来的で、素晴らしいものに思える。
しかしそこには思わぬ罠が待ち受けている。
あるエンジニアがWi-Fi接続のスマート家電である、コーヒーメーカーをハッキングする実験を行ったところ、操作権限を奪い、電子パネルに身代金メッセージを表示させることに成功したそうだ。
スマート家電は安全なのか?コーヒーメーカーで実験
IoTに対応したスマート家電やデバイスのハッキングというと、インターネットや脆弱なルーターを経由したものを想像するかもしれない。しかし、それだけでなく、そもそもスマート家電自体が脆弱なのではないかと指摘する声があった。
それを証明するべく、セキュリティ企業AVASTのマーティン・フロン氏は、2万5千円ほどで買えるSmarter社のスマートコーヒーメーカーをハッキングしてみることにした。その経緯について自身のブログで次のように説明されている。
IoTデバイスへの脅威は、脆弱なルーターやネットを介して侵入を許してしまうことだけでなく、機器それ自体にもあるのではないかという疑惑を証明しろと言われました。それは脆弱で、ネットワークやルーターに接続していなくてもすぐに支配されてしまいます。
コーヒーメーカーが身代金を要求
1週間ほどコーヒーメーカーをいじくりまわすと、ついにハッキングに成功したという。
それを家庭のインターネットに接続してしまうと、勝手にヒーターのスイッチが入り、ホットプレートの部分へびちゃびちゃとお湯をぶちまけるようになる。また豆を挽くグラインダーも止まらない。
そしてピーピーというアラームとともに、元に戻したいなら身代金を払えというメッセージがディスプレイに表示される。
こうなってしまったら、止める手段はコンセントを引っこ抜くしかない。
誰でも使えるよう操作を簡単にした結果、脆弱性が高まる
コーヒーメーカーのような家電は、誰にでも手軽に扱えなければダメだ。しかし、そうした手軽さがかえって危険を招くことになる。
今回のコーヒーメーカーについて言えば、箱から出してスイッチを入れると、面倒な設定をしなくても、すぐにWi-Fiが起動してスマホアプリと通信を開始する。するとそのアプリがコーヒーメーカーの設定を自動で行い、家庭のWi-Fi回線に接続してくれる。
だが、このときの通信は暗号化されおらず、認証も必要ない仕様だ。そのためアプリがコーヒーメーカーをどのように制御しているのか、知識のある人には筒抜けとなる。
この画像を大きなサイズで見るこうして制御方法を知ったフロン氏は、「IDA」というツールでコーヒーメーカー用アプリのファームウェアを解析。
さらに本体を分解して、そこに搭載されているCPUを確認したうえで、そのアップデートプロセスを真似したプログラムを書き、ついにコーヒーメーカーを乗っ取ることに成功した。
この画像を大きなサイズで見るちなみにフロン氏の最初の構想は、身代金の要求ではなく、仮想通貨のマイニングをさせることだったそうだ。
最初は、コーヒーメーカーで仮想通貨のマイニングができることを証明しようと思っていました。CPUとアーキテクチャを考えれば、間違いなくできるのですが、8MHzの速度では、ほとんど無視できるような金額にしかならないので意味がありません
何もかもをインターネットにつないで大丈夫なのか?
今回の仕掛けが作動するためには、コーヒーメーカーがWi-Fiかルーターを使える範囲内にあることが条件であるそうだが、この実験が示唆することは深刻だ。
ハッカーはその気になれば、こうした脆弱性がいつまでも残るよう、スマートデバイスが修正パッチを受信できないようにしてしまうこともできる。
さらにスマートデバイスを利用して、同一ネットワーク内にある他の機器にまでこっそりとハッキングを仕掛けられるようになる。
また家電のライフサイクルの長さも問題となる。コーヒーメーカーのような家電は10年、あるいは20年と、かなり長期にわたって使用されることがある。
それだけの期間を、はたして製造者はきちんとサポートできるのだろうかと、フロン氏は疑問を投げかけている。
IoTが爆発的に普及する一方、そのサポートがお粗末なものであれば、脆弱なデバイスが大量に生み出されるということになります。
それを悪用すれば、ネットワーク侵入、データ漏洩、ランサム攻撃、DDoSといった不正を行えてしまいます。
あらゆる物がインターネットに接続された未来。それは薔薇色の未来ではないかもしれない。
ちなみに、Smarter社のコーヒーメーカーだが、2017年以降の製品は、より安全なサイバーセキュリティ規格「UL 2900-2-2」に準拠しているとのことだ。
References: decoded / arstechnica
実験ではあるものの、こういう形でなんでもかんでもネットと繋がってる前提の環境は危険と証明されたか
同じような懸念を提唱しても「考えすぎ」とか「ありえない」とか言われる始末だけに
1杯作るのに120円要求する。
豆や水電気代はこっちで持とう
※2
コンビニ「呼んだ?」
これって、身代金で済まない事件も起こりうるんだよな。暴走させて火災起こすこともできるわけだし。誰もいない時間帯だったら全焼免れないでしょ。
>>3
それよりもルンバ系の掃除機は新しいものだとカメラついてるから間取りから何から内部構造が筒抜けになるし
監視カメラもアラームや録画中止したりできる
もっと言えば家の鍵をスマホ連動でロック掛けてる様な場合だと家の出入りさえノーガードにできてしまう
こういう時って大体「どうすれば盗まれない(ハッキング)ようにするか」を考えるもんだけど、IoT商材の普及に対して脆弱性がありすぎる(総じての数でハッキングされ放題の媒体がウヨウヨある)のを前提に「盗まれたとして、どうなのか」を考えといた方がいいんだけどね。>>7さんの指摘するような案件ももうすぐ出るだろうし、何より今現時点で皆が使ってるインターネット自体がザルメディアだからね? としか言えん。
※3
安全装置なしの機械ならそうだろうけど・・・
※11
その安全装置が簡単に破られるって話では?
「ようし、いい子だ・・・大人しくしてろよ・・・」
カチャカチャカチャ ターン !!
「ビンゴォォォォ」
とか、やってたのかね・・・
※4
俺もコード書いてる時そんな感じやwww
コナンでもやってたねIoTテロ
ロボットに変形して戦いだすのもお願いします
※6
私にいい考えがあると提案してくれるんですね分かります。
そりゃ人の作るものである以上脆弱性はあるし、
それらを外部に公開するなら、対策は必須だろうね
脆弱性を突くような悪意のある第三者は存在しない…なんてありえないからね
こういったIoT機器が乗っ取られた場合のリスクと相談して、
必要ならインターネットへの経路間にFW、IPS製品など入れた方がいいだろうね
スマホさえ乗っ取れば、そのスマホと連携させてるスマート家電を乗っ取ることができる…のかな?
危険があぶない。
前から思ってたんだけど日用品のIoTってリスクに対して大したメリット無いように思えるんだけど
なんかの本で読んだが、ハッカーから見れば、IOTのセキュリティはザルらしい
そのうち脳にチップ埋め込むようになったらAIに人類は支配されてしまうんだろうな
家電が家の外に繋がる必要はやっぱり無いな
外出中に稼働して欲しいならタイマーで良いし
ネットはセキュリティ対策できるパソコンとかだけで良いです
あんまり関係ないけど(IoT)←が顔文字に見えた
「よぉ~し、お前の愛するコーヒーメーカーは俺が預かった。
俺の指定する豆でコーヒーを淹れないと、主導権は永久に
お前の元には戻ってこないぞ、まずはトラジャのストレートだ」
お茶の時間くらいネットからは開放されたいよ。
道具を出して、水を汲んで火や熱源をつけて、お湯沸かしたり、豆やら粉やら葉っぱやらの香りに包まれながら…ガサゴソ準備したり時間を待ったり、そういうのも含めて楽しみたいんだ…
IoT自体はそれで助かる人もいるだろうから否定はしないけど、ネット含めて電子システムとかデジタルなんちゃらって奴はなんというか全体的に味わいみたいなものが決定的に足りない気がして、
ふだん見えないとこで多大な恩恵にあずかってることは重々承知だから申し訳ないんだけど、コーヒー淹れる時なんかは特にそんな気持ちになってしまうんだよ
冷蔵庫乗っ取られて留守中に電源落とされたら結構なダメージになりそうだな。
ウォッチドッグスみたいな世界だな
コーヒーメーカーでクラスタリングシステムが作れるってことかw
コーヒーぐらい自分で淹れろってんだよ
うちの10年くらい使ってるドラム式洗濯機が
最近調子悪いのだが、ハッキングされているのだろうか
スタンドアロン型に回帰していくだけのこと。
結局は伝染リスクを看過出来なくなり、不便だろうが呑む以外の選択肢が消滅する。covid-19がその証左だな。
なんでもネットにつなげたがるのを見ると「マゾなのか?」としか思えない
コーヒーメーカーはインターネット黎明期から相性抜群でしてなぁ。
(老人しか知らんか、こんな話)
そういえば、やたらと中国と交信したがるアイロン、なんてのが
あった様な気がする。