スマート家電のハッキング実験image by:Dan Goodin | YouTube
スマホやPCだけでなく、家電をはじめとするあらゆる物をインターネットに接続してしまおうというのが、いわゆる「モノのインターネット(IoT)」だ。
ネットの膨大な情報を利用し、より高度な制御を目指すそのコンセプトはいかにも未来的で、素晴らしいものに思える。
しかしそこには思わぬ罠が待ち受けている。
あるエンジニアがWi-Fi接続のスマート家電である、コーヒーメーカーをハッキングする実験を行ったところ、操作権限を奪い、電子パネルに身代金メッセージを表示させることに成功したそうだ。
スポンサードリンク
スマート家電は安全なのか?コーヒーメーカーで実験
IoTに対応したスマート家電やデバイスのハッキングというと、インターネットや脆弱なルーターを経由したものを想像するかもしれない。しかし、それだけでなく、そもそもスマート家電自体が脆弱なのではないかと指摘する声があった。
それを証明するべく、セキュリティ企業AVASTのマーティン・フロン氏は、2万5千円ほどで買えるSmarter社のスマートコーヒーメーカーをハッキングしてみることにした。その経緯について自身のブログで次のように説明されている。
IoTデバイスへの脅威は、脆弱なルーターやネットを介して侵入を許してしまうことだけでなく、機器それ自体にもあるのではないかという疑惑を証明しろと言われました。それは脆弱で、ネットワークやルーターに接続していなくてもすぐに支配されてしまいます。
コーヒーメーカーが身代金を要求
1週間ほどコーヒーメーカーをいじくりまわすと、ついにハッキングに成功したという。
それを家庭のインターネットに接続してしまうと、勝手にヒーターのスイッチが入り、ホットプレートの部分へびちゃびちゃとお湯をぶちまけるようになる。また豆を挽くグラインダーも止まらない。
そしてピーピーというアラームとともに、元に戻したいなら身代金を払えというメッセージがディスプレイに表示される。
こうなってしまったら、止める手段はコンセントを引っこ抜くしかない。
What a hacked coffee machine looks like.
誰でも使えるよう操作を簡単にした結果、脆弱性が高まる
コーヒーメーカーのような家電は、誰にでも手軽に扱えなければダメだ。しかし、そうした手軽さがかえって危険を招くことになる。
今回のコーヒーメーカーについて言えば、箱から出してスイッチを入れると、面倒な設定をしなくても、すぐにWi-Fiが起動してスマホアプリと通信を開始する。するとそのアプリがコーヒーメーカーの設定を自動で行い、家庭のWi-Fi回線に接続してくれる。
だが、このときの通信は暗号化されおらず、認証も必要ない仕様だ。そのためアプリがコーヒーメーカーをどのように制御しているのか、知識のある人には筒抜けとなる。
こうして制御方法を知ったフロン氏は、「IDA」というツールでコーヒーメーカー用アプリのファームウェアを解析。
さらに本体を分解して、そこに搭載されているCPUを確認したうえで、そのアップデートプロセスを真似したプログラムを書き、ついにコーヒーメーカーを乗っ取ることに成功した。
ちなみにフロン氏の最初の構想は、身代金の要求ではなく、仮想通貨のマイニングをさせることだったそうだ。
最初は、コーヒーメーカーで仮想通貨のマイニングができることを証明しようと思っていました。CPUとアーキテクチャを考えれば、間違いなくできるのですが、8MHzの速度では、ほとんど無視できるような金額にしかならないので意味がありません
何もかもをインターネットにつないで大丈夫なのか?
今回の仕掛けが作動するためには、コーヒーメーカーがWi-Fiかルーターを使える範囲内にあることが条件であるそうだが、この実験が示唆することは深刻だ。
ハッカーはその気になれば、こうした脆弱性がいつまでも残るよう、スマートデバイスが修正パッチを受信できないようにしてしまうこともできる。
さらにスマートデバイスを利用して、同一ネットワーク内にある他の機器にまでこっそりとハッキングを仕掛けられるようになる。
また家電のライフサイクルの長さも問題となる。コーヒーメーカーのような家電は10年、あるいは20年と、かなり長期にわたって使用されることがある。
それだけの期間を、はたして製造者はきちんとサポートできるのだろうかと、フロン氏は疑問を投げかけている。
IoTが爆発的に普及する一方、そのサポートがお粗末なものであれば、脆弱なデバイスが大量に生み出されるということになります。
それを悪用すれば、ネットワーク侵入、データ漏洩、ランサム攻撃、DDoSといった不正を行えてしまいます。
あらゆる物がインターネットに接続された未来。それは薔薇色の未来ではないかもしれない。
ちなみに、Smarter社のコーヒーメーカーだが、2017年以降の製品は、より安全なサイバーセキュリティ規格「UL 2900-2-2」に準拠しているとのことだ。
References:decoded / arstechnica/ written by hiroching / edited by parumo
あわせて読みたい
子供部屋の防犯カメラがハッキングされ、「サンタクロースだよ、親友になろう」と8歳少女を脅かす事案発生(アメリカ)
病院のコンピューターがサイバー攻撃を受けシステムダウン、搬送中の患者が死亡するという世界初の事例(ドイツ)
ネット上のデータベースが削除され、猫の鳴き声に書き換えられる謎の「ニャー攻撃」が多発。被害総数は4000件以上
カジノに設置されている水槽の温度計を利用して顧客データを盗み出したハッカーたち
げに怖ろしやインターネット:ネットを利用した10の組織的サイバー犯罪この記事が気に入ったら
いいね!しよう
いいね!しよう
カラパイアの最新記事をお届けします
人気記事
最新週間ランキング
1位 11679 points |  | 残念なお知らせ。タイムトラベルで過去を変えても未来は修正されない(オーストラリア物理学者) |
2位 4801 points |  | 世界一幸せそうに見える「クアッカワラビー」は、本当に人間に癒し効果を与えていたことが科学的に証明される(英研究) |
3位 3205 points |  | 自動車ディーラーに足しげく通い続けた野良犬、店に引き取られマスコット犬に(ブラジル) |
4位 2520 points |  | 「猫さん強いな〜」子猫にやさしいゴールデンレトリバー。一緒に遊んで負けたふり |
5位 2190 points |  | マクドナルドの公式SNSに寄せられた顧客クレームに、バーガーキングが勝手に回答していた件(デンマーク) |
11222
288
61
108スポンサードリンク
コメント
1. 匿名処理班
実験ではあるものの、こういう形でなんでもかんでもネットと繋がってる前提の環境は危険と証明されたか
同じような懸念を提唱しても「考えすぎ」とか「ありえない」とか言われる始末だけに
2. 匿名処理班
1杯作るのに120円要求する。
豆や水電気代はこっちで持とう
3. 匿名処理班
これって、身代金で済まない事件も起こりうるんだよな。暴走させて火災起こすこともできるわけだし。誰もいない時間帯だったら全焼免れないでしょ。
4. 匿名処理班
「ようし、いい子だ・・・大人しくしてろよ・・・」
カチャカチャカチャ ターン !!
「ビンゴォォォォ」
とか、やってたのかね・・・
5. 匿名処理班
コナンでもやってたねIoTテロ
6. 匿名処理班
ロボットに変形して戦いだすのもお願いします
7. 匿名処理班
>>3
それよりもルンバ系の掃除機は新しいものだとカメラついてるから間取りから何から内部構造が筒抜けになるし
監視カメラもアラームや録画中止したりできる
もっと言えば家の鍵をスマホ連動でロック掛けてる様な場合だと家の出入りさえノーガードにできてしまう
8. 匿名処理班
そりゃ人の作るものである以上脆弱性はあるし、
それらを外部に公開するなら、対策は必須だろうね
脆弱性を突くような悪意のある第三者は存在しない…なんてありえないからね
こういったIoT機器が乗っ取られた場合のリスクと相談して、
必要ならインターネットへの経路間にFW、IPS製品など入れた方がいいだろうね
9. 匿名処理班
スマホさえ乗っ取れば、そのスマホと連携させてるスマート家電を乗っ取ることができる…のかな?
危険があぶない。
10. 匿名処理班
前から思ってたんだけど日用品のIoTってリスクに対して大したメリット無いように思えるんだけど
11. 匿名処理班
※3
安全装置なしの機械ならそうだろうけど・・・
12. 匿名処理班
なんかの本で読んだが、ハッカーから見れば、IOTのセキュリティはザルらしい
13. 匿名処理班
そのうち脳にチップ埋め込むようになったらAIに人類は支配されてしまうんだろうな
14. 匿名処理班
家電が家の外に繋がる必要はやっぱり無いな
外出中に稼働して欲しいならタイマーで良いし
ネットはセキュリティ対策できるパソコンとかだけで良いです