no title
スマート家電のハッキング実験image by:Dan Goodin | YouTube

 スマホやPCだけでなく、家電をはじめとするあらゆる物をインターネットに接続してしまおうというのが、いわゆる「モノのインターネット(IoT)」だ。

 ネットの膨大な情報を利用し、より高度な制御を目指すそのコンセプトはいかにも未来的で、素晴らしいものに思える。

 しかしそこには思わぬ罠が待ち受けている。

 あるエンジニアがWi-Fi接続のスマート家電である、コーヒーメーカーをハッキングする実験を行ったところ、操作権限を奪い、電子パネルに身代金メッセージを表示させることに成功したそうだ。
スポンサードリンク

スマート家電は安全なのか?コーヒーメーカーで実験


 IoTに対応したスマート家電やデバイスのハッキングというと、インターネットや脆弱なルーターを経由したものを想像するかもしれない。しかし、それだけでなく、そもそもスマート家電自体が脆弱なのではないかと指摘する声があった。

 それを証明するべく、セキュリティ企業AVASTのマーティン・フロン氏は、2万5千円ほどで買えるSmarter社のスマートコーヒーメーカーをハッキングしてみることにした。その経緯について自身のブログで次のように説明されている。

IoTデバイスへの脅威は、脆弱なルーターやネットを介して侵入を許してしまうことだけでなく、機器それ自体にもあるのではないかという疑惑を証明しろと言われました。それは脆弱で、ネットワークやルーターに接続していなくてもすぐに支配されてしまいます。


コーヒーメーカーが身代金を要求


 1週間ほどコーヒーメーカーをいじくりまわすと、ついにハッキングに成功したという。

 それを家庭のインターネットに接続してしまうと、勝手にヒーターのスイッチが入り、ホットプレートの部分へびちゃびちゃとお湯をぶちまけるようになる。また豆を挽くグラインダーも止まらない。

 そしてピーピーというアラームとともに、元に戻したいなら身代金を払えというメッセージがディスプレイに表示される。

 こうなってしまったら、止める手段はコンセントを引っこ抜くしかない。


What a hacked coffee machine looks like.

誰でも使えるよう操作を簡単にした結果、脆弱性が高まる


 コーヒーメーカーのような家電は、誰にでも手軽に扱えなければダメだ。しかし、そうした手軽さがかえって危険を招くことになる。

 今回のコーヒーメーカーについて言えば、箱から出してスイッチを入れると、面倒な設定をしなくても、すぐにWi-Fiが起動してスマホアプリと通信を開始する。するとそのアプリがコーヒーメーカーの設定を自動で行い、家庭のWi-Fi回線に接続してくれる。

 だが、このときの通信は暗号化されおらず、認証も必要ない仕様だ。そのためアプリがコーヒーメーカーをどのように制御しているのか、知識のある人には筒抜けとなる。

2

 こうして制御方法を知ったフロン氏は、「IDA」というツールでコーヒーメーカー用アプリのファームウェアを解析。

 さらに本体を分解して、そこに搭載されているCPUを確認したうえで、そのアップデートプロセスを真似したプログラムを書き、ついにコーヒーメーカーを乗っ取ることに成功した。

5

 ちなみにフロン氏の最初の構想は、身代金の要求ではなく、仮想通貨のマイニングをさせることだったそうだ。

最初は、コーヒーメーカーで仮想通貨のマイニングができることを証明しようと思っていました。CPUとアーキテクチャを考えれば、間違いなくできるのですが、8MHzの速度では、ほとんど無視できるような金額にしかならないので意味がありません


何もかもをインターネットにつないで大丈夫なのか?


 今回の仕掛けが作動するためには、コーヒーメーカーがWi-Fiかルーターを使える範囲内にあることが条件であるそうだが、この実験が示唆することは深刻だ。

 ハッカーはその気になれば、こうした脆弱性がいつまでも残るよう、スマートデバイスが修正パッチを受信できないようにしてしまうこともできる。

 さらにスマートデバイスを利用して、同一ネットワーク内にある他の機器にまでこっそりとハッキングを仕掛けられるようになる。

 また家電のライフサイクルの長さも問題となる。コーヒーメーカーのような家電は10年、あるいは20年と、かなり長期にわたって使用されることがある。

 それだけの期間を、はたして製造者はきちんとサポートできるのだろうかと、フロン氏は疑問を投げかけている。

IoTが爆発的に普及する一方、そのサポートがお粗末なものであれば、脆弱なデバイスが大量に生み出されるということになります。

それを悪用すれば、ネットワーク侵入、データ漏洩、ランサム攻撃、DDoSといった不正を行えてしまいます。

 あらゆる物がインターネットに接続された未来。それは薔薇色の未来ではないかもしれない。

 ちなみに、Smarter社のコーヒーメーカーだが、2017年以降の製品は、より安全なサイバーセキュリティ規格「UL 2900-2-2」に準拠しているとのことだ。

References:decoded / arstechnica/ written by hiroching / edited by parumo
あわせて読みたい
子供部屋の防犯カメラがハッキングされ、「サンタクロースだよ、親友になろう」と8歳少女を脅かす事案発生(アメリカ)


病院のコンピューターがサイバー攻撃を受けシステムダウン、搬送中の患者が死亡するという世界初の事例(ドイツ)


ネット上のデータベースが削除され、猫の鳴き声に書き換えられる謎の「ニャー攻撃」が多発。被害総数は4000件以上


カジノに設置されている水槽の温度計を利用して顧客データを盗み出したハッカーたち


げに怖ろしやインターネット:ネットを利用した10の組織的サイバー犯罪


この記事に関連するキーワード

キーワードから記事を探す

この記事が気に入ったら
いいね!しよう
カラパイアの最新記事をお届けします
この記事をシェア :    

人気記事

最新週間ランキング

1位
5364 points
猫氏、無賃乗車が発覚し乗務員に降ろされる

猫氏、無賃乗車が発覚し乗務員に降ろされる

2020年10月16日
2位
4862 points
犬氏「こんな可愛い子たちほっとけない!」散歩の途中で出会った子猫を保護する優しいラブラドール

犬氏「こんな可愛い子たちほっとけない!」散歩の途中で出会った子猫を保護する優しいラブラドール

2020年10月17日
834769010
3位
4351 points
消防士に保護された子猫、飼い犬に囲まれ育ち犬化が加速(ベルギー)

消防士に保護された子猫、飼い犬に囲まれ育ち犬化が加速(ベルギー)

2020年10月15日
3443982223
4位
3737 points
ちっちゃかわっ!5匹のコツメカワウソの赤ちゃん生まれたよ(ニュージーランド・オークランド動物園)

ちっちゃかわっ!5匹のコツメカワウソの赤ちゃん生まれたよ(ニュージーランド・オークランド動物園)

2020年10月19日
5位
2584 points
12歳で核融合炉を作った少年がギネス世界記録に認定(米テネシー州)

12歳で核融合炉を作った少年がギネス世界記録に認定(米テネシー州)

2020年10月13日
3612145474
もっと読む
スポンサードリンク

Facebook

コメント

1

1. 匿名処理班

  • 2020年10月07日 20:48
  • ID:i.eV7aP10 #

実験ではあるものの、こういう形でなんでもかんでもネットと繋がってる前提の環境は危険と証明されたか
同じような懸念を提唱しても「考えすぎ」とか「ありえない」とか言われる始末だけに

2

2. 匿名処理班

  • 2020年10月07日 21:00
  • ID:QjDK2rmf0 #

1杯作るのに120円要求する。
豆や水電気代はこっちで持とう

3

3. 匿名処理班

  • 2020年10月07日 21:08
  • ID:.o0Eo3gH0 #

これって、身代金で済まない事件も起こりうるんだよな。暴走させて火災起こすこともできるわけだし。誰もいない時間帯だったら全焼免れないでしょ。

4

4. 匿名処理班

  • 2020年10月07日 21:11
  • ID:jy7OMnRc0 #

「ようし、いい子だ・・・大人しくしてろよ・・・」
カチャカチャカチャ ターン !!
「ビンゴォォォォ」

とか、やってたのかね・・・

5

5. 匿名処理班

  • 2020年10月07日 21:46
  • ID:HYYzUULL0 #

コナンでもやってたねIoTテロ

6

6. 匿名処理班

  • 2020年10月07日 21:47
  • ID:Mmmz.c2M0 #

ロボットに変形して戦いだすのもお願いします

7

7. 匿名処理班

  • 2020年10月07日 22:04
  • ID:xhU1CUdW0 #

>>3
それよりもルンバ系の掃除機は新しいものだとカメラついてるから間取りから何から内部構造が筒抜けになるし
監視カメラもアラームや録画中止したりできる
もっと言えば家の鍵をスマホ連動でロック掛けてる様な場合だと家の出入りさえノーガードにできてしまう

8

8. 匿名処理班

  • 2020年10月07日 22:05
  • ID:idTkI9vb0 #

そりゃ人の作るものである以上脆弱性はあるし、
それらを外部に公開するなら、対策は必須だろうね
脆弱性を突くような悪意のある第三者は存在しない…なんてありえないからね

こういったIoT機器が乗っ取られた場合のリスクと相談して、
必要ならインターネットへの経路間にFW、IPS製品など入れた方がいいだろうね

9

9. 匿名処理班

  • 2020年10月07日 22:16
  • ID:BmyL5CKE0 #

スマホさえ乗っ取れば、そのスマホと連携させてるスマート家電を乗っ取ることができる…のかな?
危険があぶない。

10

10. 匿名処理班

  • 2020年10月07日 22:28
  • ID:aYCUkxJw0 #

前から思ってたんだけど日用品のIoTってリスクに対して大したメリット無いように思えるんだけど

11

11. 匿名処理班

  • 2020年10月07日 22:28
  • ID:IzDbhwar0 #

※3
安全装置なしの機械ならそうだろうけど・・・

12

12. 匿名処理班

  • 2020年10月07日 22:32
  • ID:1HW6Gn.S0 #

なんかの本で読んだが、ハッカーから見れば、IOTのセキュリティはザルらしい

13

13. 匿名処理班

  • 2020年10月07日 22:44
  • ID:4UYwv9ar0 #

そのうち脳にチップ埋め込むようになったらAIに人類は支配されてしまうんだろうな

14

14. 匿名処理班

  • 2020年10月07日 23:19
  • ID:SBIiPngH0 #

家電が家の外に繋がる必要はやっぱり無いな
外出中に稼働して欲しいならタイマーで良いし
ネットはセキュリティ対策できるパソコンとかだけで良いです

15

15. 匿名処理班

  • 2020年10月08日 00:12
  • ID:emXKcDxl0 #

あんまり関係ないけど(IoT)←が顔文字に見えた

16

16. じょん・すみす

  • 2020年10月08日 02:20
  • ID:gardlInl0 #

「よぉ〜し、お前の愛するコーヒーメーカーは俺が預かった。
 俺の指定する豆でコーヒーを淹れないと、主導権は永久に
 お前の元には戻ってこないぞ、まずはトラジャのストレートだ」

17

17. 匿名処理班

  • 2020年10月08日 03:56
  • ID:CKNUAXST0 #

お茶の時間くらいネットからは開放されたいよ。

道具を出して、水を汲んで火や熱源をつけて、お湯沸かしたり、豆やら粉やら葉っぱやらの香りに包まれながら…ガサゴソ準備したり時間を待ったり、そういうのも含めて楽しみたいんだ…

IoT自体はそれで助かる人もいるだろうから否定はしないけど、ネット含めて電子システムとかデジタルなんちゃらって奴はなんというか全体的に味わいみたいなものが決定的に足りない気がして、

ふだん見えないとこで多大な恩恵にあずかってることは重々承知だから申し訳ないんだけど、コーヒー淹れる時なんかは特にそんな気持ちになってしまうんだよ

18

18. 匿名処理班

  • 2020年10月08日 05:37
  • ID:Tx7x2uuK0 #

冷蔵庫乗っ取られて留守中に電源落とされたら結構なダメージになりそうだな。

19

19.

  • 2020年10月08日 06:42
  • ID:zKmpPsiX0 #
20

20. 匿名処理班

  • 2020年10月08日 06:52
  • ID:17Nw038w0 #

ウォッチドッグスみたいな世界だな

21

21. 匿名処理班

  • 2020年10月08日 07:47
  • ID:bx0hDcTA0 #

コーヒーメーカーでクラスタリングシステムが作れるってことかw

22

22. のらねこ

  • 2020年10月08日 09:36
  • ID:7OouL2bz0 #

こういう時って大体「どうすれば盗まれない(ハッキング)ようにするか」を考えるもんだけど、IoT商材の普及に対して脆弱性がありすぎる(総じての数でハッキングされ放題の媒体がウヨウヨある)のを前提に「盗まれたとして、どうなのか」を考えといた方がいいんだけどね。>>7さんの指摘するような案件ももうすぐ出るだろうし、何より今現時点で皆が使ってるインターネット自体がザルメディアだからね? としか言えん。

23

23. 匿名処理班

  • 2020年10月08日 09:53
  • ID:cUH7RpLw0 #

※2
コンビニ「呼んだ?」

24

24. 匿名処理班

  • 2020年10月08日 10:55
  • ID:ZOovl39P0 #

コーヒーぐらい自分で淹れろってんだよ

25

25. 匿名処理班

  • 2020年10月08日 12:34
  • ID:H5Lm87J40 #

※4
俺もコード書いてる時そんな感じやwww

26

26. 匿名処理班

  • 2020年10月08日 12:34
  • ID:Jorl3sPZ0 #

うちの10年くらい使ってるドラム式洗濯機が
最近調子悪いのだが、ハッキングされているのだろうか

27

27. 匿名処理班

  • 2020年10月08日 12:35
  • ID:H5Lm87J40 #

※6
私にいい考えがあると提案してくれるんですね分かります。

28

28. 匿名処理班

  • 2020年10月08日 12:36
  • ID:H5Lm87J40 #

※11
その安全装置が簡単に破られるって話では?

29

29. 匿名処理班

  • 2020年10月08日 17:26
  • ID:XJn8diwe0 #

スタンドアロン型に回帰していくだけのこと。
結局は伝染リスクを看過出来なくなり、不便だろうが呑む以外の選択肢が消滅する。covid-19がその証左だな。

30

30.

  • 2020年10月08日 18:33
  • ID:D.StgyzV0 #
31

31. 匿名処理班

  • 2020年10月08日 20:24
  • ID:oz7Q9jYz0 #

なんでもネットにつなげたがるのを見ると「マゾなのか?」としか思えない

32

32. 匿名処理班

  • 2020年10月08日 22:16
  • ID:.N3DTkZB0 #

コーヒーメーカーはインターネット黎明期から相性抜群でしてなぁ。
(老人しか知らんか、こんな話)

33

33.

  • 2020年10月09日 09:44
  • ID:TvQmsxtf0 #
34

34. じょん・すみす

  • 2020年10月10日 01:19
  • ID:eD7dDAn70 #

そういえば、やたらと中国と交信したがるアイロン、なんてのが
あった様な気がする。

お名前
スポンサードリンク
記事検索
月別アーカイブ
スマートフォン版
スマートフォン版QRコード
「カラパイア」で検索!!
スポンサードリンク