安物のIoT機器は、たとえゴミ箱に叩き込んだあとでも持ち主を裏切り続ける

格安のスマート電球やセキュリティカメラを購入したときの最悪のリスクは、セットアップに手間がかかるとか、設定できることが少ないことだと考えるかもしれない。しかし、こうした雑なガジェットがセキュリティリスクであるのは、プラグインされている間だけではない。ゴミ箱の中にあるときさえ、あなたのネットワークを危険にさらすかもしれないのだ。

こうした、いわゆるIoTガジェットは小さくてかなり単純なものだが、それでもあらゆる目的と用途のために用いることのできる、本格的なコンピューターなのだ。それほど多くのことをする必要はないかも知れないが、機器が利用者のプライベート情報を暗号化しないまま世界にばらまいたり、アクセスしてきたものにルート権限を渡したりしないように。よくある基本的な予防策は講じておく必要がある。

Limited Resultsが(Hack a Dayを介して)調査を行った低コスト「スマート」電球の場合には、問題はそれらが接続されている間に行うことではなく、それらがその小さな頭脳の中に保存している情報と、その保存方法だった。

彼らがテストしたすべての電球は、内部のチップに保存されている情報を保護することに対するセキュリティを、まったく持っていないことが証明された。回路基板を露出させた後、数本のリード線を接続したところ、どのデバイスもそのブートデータを出力したあと、コマンド待機状態になった。

データは例外なく全く暗号化されていなかったが、そうしたものの中にはデバイスが接続されていたネットワークへのワイヤレスパスワードなども含まれていた。1つのデバイスなどは、RSAの秘密鍵も公開していた、この秘密鍵はデバイスが(更新や、ユーザーデータのクラウドへのアップロードなどのために)接続するサーバーへの、セキュアな接続を確立するために使われるものだ。こうした情報が、この電球をゴミ箱から拾い上げたり、屋外の設備から盗んだり、あるいは中古品として買った人なら、手に入るのだ。

「真面目な話、IoTデバイスの9割はセキュリティを考慮せずに開発されています。これは惨事以外の何物でもありません」とLimited Resultsはメールに書いている。「私の調査は、LIFX、XIAOMI、TUYA、およびWIZの4つの異なるデバイスをターゲットにしています(まだ全ての結果は発表されていない)。同じデバイス、同じ脆弱性、そして時にはまったく同じコードさえもが中に入っています」。

現在、これらのデバイスに上で公開されている特定の情報は、それ自体ではそれほど有害ではないものの、もし誰かがその気になれば、複数の方法でそれを活用することができる。ここで注目すべき重要な点は、こうしたデバイスに注がれた注意の全くの欠如である。コードに対してだけではなく、構造に対する注意も欠如しているのだ。そうした商品は、安全性も、セキュリティも、そして寿命さえ考慮していない市販のワイヤレスボードに、単に簡単なケースをとりつけただけなのだ。そしてこの種のことは、決してスマート電球に限定されるものではない。

こうしたデバイスは皆、AlexaやGoogle Home、もしくはその他の標準規格をサポートしていることを誇らしげに主張している。こうした主張は、ユーザーに対してこれらのデバイスが、何らかの形で認定され、検査され、あるいは何らかの基本規格に合格しているという誤った認識を与える可能性がある。

実際は、それらのすべての機器が、本質的に全くセキュリティを持たないことに加えて、中にはその(導電性の)金属ケースと基盤の間を絶縁しているものが、粘着性の適当な紙に過ぎないものもあった。このようなものを使っていては、漏電火事や少なくとも短絡事故が起きるのを待っているようなものだ。

他の種類の電子機器でも同様だが、ある機器が他の機器よりもはるかに安価であるのは、そうなるだけの理由が常にあるのだ。だが、安物のCDプレーヤーの場合には、最悪でも曲がスキップしたりディスクに傷が付くくらいだ。だが、安物のベビーモニター、安物のスマートコンセント、そして安物のインターネット接続ドアロックの場合には、そんな程度の被害では済まない。

私は別に、世の中のスマートガジェット全てに関して、プレミアムバージョンだけを買う必要があると言いたいわけではない。消費者たちが、そうした(いい加減に作られた)デバイスをインストールすることで、どのようなリスクに晒されることになるかに自覚的であるべきだと言いたいのだ。

あなた自身のリスクを限定したい場合に、簡単にできる手段のひとつは、スマートホームデバイスなどを、サブネットやゲストネットの上に隔離してしまうことである。自分のデバイスと、もちろんルーターが、パスワードで保護されていることを確認しよう。そしてパスワードを定期的に変更するなどの常識的な手段を講じよう。

画像クレジット: Limited Results

[原文へ]
(翻訳:sako)

投稿者:

TechCrunch Japan

TechCrunchは2005年にシリコンバレーでスタートし、スタートアップ企業の紹介やインターネットの新しいプロダクトのレビュー、そして業界の重要なニュースを扱うテクノロジーメディアとして成長してきました。現在、米国を始め、欧州、アジア地域のテクノロジー業界の話題をカバーしています。そして、米国では2010年9月に世界的なオンラインメディア企業のAOLの傘下となりその運営が続けられています。 日本では2006年6月から翻訳版となるTechCrunch Japanが産声を上げてスタートしています。その後、日本でのオリジナル記事の投稿やイベントなどを開催しています。なお、TechCrunch Japanも2011年4月1日より米国と同様に米AOLの日本法人AOLオンライン・ジャパンにより運営されています。