IoT(モノのインターネット)の普及に準備ができていません

in #セキュリティ #プライバシー #インターネット

小学生時代から、ホームオートメーション(domoticとも呼ぶ)とIoT(モノのインターネット)に大変興味を持って、インターネットに接続できる家庭用の新しいガジェットが出たら、父に買わせるようお願いしていました。

ちなみに、買わせる成功率はゼロでした。orz

買ってもらえないならば、自分のうちに住むようになったときに色々買おうと決心しました。(当時のアレックスは光熱費と税金のことすら知らなかったでしょうねぇ。)

とにかく、大学を卒業して日本に行く前にLa Fnacという電気屋(フランスのビックカメラと言えばイメージしやすいかも)でアルバイトをしていました。

僕の仕事はIoT製品の販売支援でした。フランスで発売されていたNestのスマートサーモスタットとスマート住宅用火災報知器を見込み顧客に勧めました。

値段はやや高かったですが、色んな機能が付いていて便利な製品だったと思います。

その上に、(間違いなくNestのマーケティングチームが考えたことですが)発売されたときはちょうど、フランスの全ての住宅に火災報知器の設置が義務付けられていた時期でした。

その理由をきっかけに両親にNestの火災報知器を買わせました。やっとホームオートメーションの製品を手に入れた!!!(笑)

nest-protect-fire-alarmそうだ!まず本棚を守りましょう!

しかしその後、僕は日本に行きましたのでほぼ使いませんでした。(火災報知器って遊ぶもんではないけど)

昔から、マイホームでどんなIoTを使うかをリスト化して、ブループリントや、全てのモノが交信するための接続プランまで考えました。

が、しかし

今になってこの企画を実現することをやめました。

値段の問題ではありません。確かにIoTはまだ高いですが、毎月少し貯めておいてちょっとずつ買えばいいです。

問題は、現代のモノのインターネットはセキュリティがめちゃくちゃ弱いです。

モノのインターネットのセキュリティ不安

攻撃を受けたモノのリストが日々増えていますがいくつかリスト化します。

  • 閉まっていないのに閉まっていると通知する"スマート"ドアロック[1]
  • バックドアを使って簡単に他人のWiFiに不正アクセスできる"スマート"サーモスタット[2]
  • 車のパソコンを乗っ取り[3]
  • スパムを発信する乗っ取られた"スマート"冷蔵庫[4]

スマート冷蔵庫はどういうモノかと言いますと、食材の量を監視して、足りなくなった時に自動的に購入してくれます。うーむ。便利ちゃ便利かもしれません。

しかし、インターネット接続可のガジェットを開発する会社はセキュリティを重視しない(あるいはセキュリティを考える時間がない)ため、日々にIoTがインターネットを通して遠隔に乗っ取られ、スパムのボットネットになってしまいます。

冷蔵庫が迷惑メールを発信しています。想像つきませんw

笑えない例もあります

上記は少し皮肉で書いていますが、笑えない例も山ほどあります。

去年、世界中で一番大きなサイバー攻撃は・・・ ネットワーク接続監視カメラを使って行われました。

なぜこんな状況になりましたか、説明します。

ある大手中国メーカーが消すことができないアカウント名とパスワードを監視カメラにハードコディングしました。
世界中の色んなベンダーがその中国メーカーのカメラを購入し、自社ブランドで販売しました。

もちろん、犯罪者はこの脆弱性(ハードコディングされたアカパス)を見つけてしまって、何十万台の監視カメラを乗っ取って、悪意のあるソフトゥエアをアップロードして、総当たり攻撃を行いました。

その結果、Twitter、Amazon、Tumblr、Reddit、Spotify、Netflixを含めて、一部の大手サイトにアクセスできなくなりました。[5]

internet-outage-cyber-attack-iot攻撃によるインターネットの停止。http://downdetector.com/ より

なお、現在ほぼ全てのネットワーク接続監視カメラはあの脆弱性を持っています。インターネットを通じてあのカメラを乗っ取ってカメラがリアルタイムで見てる物を覗くことができます。

victim-camera-hackingハッカーとサイバーセキュリティのQuinn Norton記者が20分ぐらいで見つけた写真

余計な話ですが、僕のパソコンのカメラになぜ紙を貼っているかとよく聞かれますが、この画像は質問によく答えると思います。念のためにパソコンのカメラに不透明の紙を是非貼っておいてください。

また、インターネットをスキャンして脆弱性を持つカメラを自動的に見つけて、自由に覗くことができるスクリプトが山ほどあります。実は、スクリプトが多すぎて、リスト化してくれた人がいます。
Torでしかアクセスできないダークウェブにあるわけでもなく、Githubよりダウンロードして誰でも自由に使えるツールです。

どうぞご覧ください。
(研究のためやIoTのセキュリティ不安を指すために作られたリストだそうです。悪意を持って使わないでください)

お子様の部屋にネットワーク監視カメラを設置するとき、この現実を知っておいてください。

そもそも全てのモノをインターネットに接続する意味があるの?

Your scientists were so preoccupied with whether or not they could, they didn’t stop to think if they should.
~ Ian, Jurassic Park

若いアレックスはSFが大好きで、大人になったらSFで見る世界が現実になることが夢でした。

しかし大人のアレックスはよりリスク回避な考えを持ちます。

OpSecで、Attack Surface(攻撃対象領域)という概念があります。

基本的に、モノが外界と接している部分はすべてAttack Surfaceになり得ます。Attack surfaceをゼロにすることは現実的には不可能ですが,無意味にそれを広げ,リスクを増やさないようにすることは重要です。

「無意味にそれを広げる」はIoTに当てはまります。

冷蔵庫の例に戻りますと、本当に常にネットワークに接す必要がありますか?オーブンは?トースター?電球?鉄板?歯ブラシ(はい、そんなのあります)?

日々をより便利にするモノではあります。「牛乳まだあるっけ?」「電気消したっけ?」といったシナリオには便利でしょう。

例えば、僕は(なぜか)ドア閉め忘れにめっちゃストレスする人です。
朝、エレベータに乗って、「閉めたっけ?」と思い、上階に戻って確認します。(ちなみにいつもちゃんと閉まっています)

携帯でドアが閉まっているかどうかを確認するスマートロックは便利そうです。

しかし、家のAttack Surfaceを広げるほど必要性を感じていません。

現在、IoTを買うときに、乗っ取りの可能性が充分にあると思いながら買った方がスマートです。(特に無線LANを使うモノ)

プライバシーの問題

別の記事を書けるほど深い問題です。ざっくり書きますね。

E.T.のように、IoTはホームシックになる

IoTはすごいホームシックです。

どういう意味かというと、いつもメーカーのサーバー(ホームとも呼ぶ)と接します。モノによって1分に何度ホームと接します。

他にホームシックなIoTの例がいっぱいあります。興味がある方はPi-Holeのブログ(英語)まで。

ちなみに、ホームと接すこと自体は悪くありません。これをテレメトリといいますが、ユーザーの使い方などを収集し、分析し、その情報の元でメーカーは製品・サービスを改善します。

テレメトリの問題は、どんな情報を収集するか、その情報はどういうふうに保管するか、誰とシェアしているか、という3つの質問です。

誰も読まないプライバシーポリシーやサービス利用規約に、どんな情報が収集されるか、一部が書いてありますが、多くの場合曖昧な用語しか書いてありません。

カメラが付いているモノは特に疑うべきです。もしかして自分の映像をテレメトリとして送る?と問わなければならないと思います。

そして、その情報はどういうふうに保管されているか?保管方法に信頼していいのか?
基本的に不明です。GoogleやAmazon、インターネットの大手なら、セキュリティはおそらく大丈夫だろうと思っていいですが、わけ分からないIoT企業を信じるのは賢くないと思います。

数ヶ月前、CloudPetsというボイスメッセージを再生するクマのぬいぐるみが数百万件の録音データを漏洩しました。

ユーザーのデータは認証不要で公開されているデータベースに保存されていました。はい。未成年向けのぬいぐるみの情報が、ですね。

cloud-pets-leak

アプリを通じて親戚にシェアできる写真や録音データ、子どもの名前や生まれた月日などのプライベートな情報がぜーんぶ流出してしまいました。

しかも、この最重要な問題に対して、CloudPetsが完全に無責任で対応がとてもひどかったです。是非、セキュリティ専門家であるTroy Hunt氏の記事(英語)を読んで欲しいです。(またはGigazineの日本語訳

最後に、IoTはパートナー/サードパーティに情報を販売することが多い業界です。

先月、人気の掃除ロボット「ルンバ」が収集した家庭内の見取り図を外販するとのニュースが話題になりました[6]

家庭内の見取り図がどこまで詳しいかを別にして、自分の家庭内の見取り図を自分と全く関係ない会社に販売されていることは少し不安になるはずです。

個人情報が数社のシステムで保管されればされる程、間接的に自分のAttack Surfaceが広げます。仮に保管方法が充分セキュアでなかったら、流出の可能性が高まります。

これからはどうしようか?

ご存知の通り、今年の流出事件が去年より増えて、これかれも減らないでしょう。

ちょうど本稿を書いた途中で、Deloitteがハッキングされたことが分かりました。また、米ヤフーは30億件の情報が流出したということが分かりました。

情報流出は日常的にある事件です。尚、これはニュースで報じてる事件だけです。実際にニュースにならない事件も毎日あるでしょう。
インターネットで、昔からの言葉があります。会社は「流出事件があった」と「流出事件があったけどまだ知らない」と2種類に分かれていると言われています。

本稿を読んで、もう、どうしようもないじゃん!と思ってしまうかもしれません。もちろん、不正アクセスや流出の可能性があると言って、インターネットを使うのやめる!というのはおかしいですね。

しかし、ユーザーとしてとるべき行動が2つあります。

ひとまず、我々の情報を扱う会社に対して、より慎重に保護してもらうよう要求しなければなりません。自分で調べて、セキュリティやプライバシーを重視しない会社にお金をあげません(モノを買いません)。

そして、夜にドアを閉めるという当たり前の行動のように、自分のパソコン、ネットワークやIoTをセキュアに使うよう勉強する必要があります。

ドアの作りがどんだけ丈夫であっても、鍵で閉めない限り、完全に無能です。外界と接しているモノは一緒です。丈夫なモノを選ぶ上で、自分で最低限のセキュリティ対策を行わなければなりません。

最後に

モノのインターネットの普及を大変楽しみにしています。私たちの生活をより快適で安全にするものであるはずです。

しかし、インターネットはフレンドリーな場所ではありません。ユーザーとして上記の行動を取らない限り、悲報がさらに増えてしまいます。

IoT市場はまだ歴史が浅いです。IoTが普及し始める中、多くの会社が市場のシェアを素早くとるため、いろんな製品を開発して発売しています。競合より早く発売する状況の中で、タイミングが大事です。残念ながら時間があまりないときに、開発者が投げ出す要素はセキュリティです。

最新のガジェットをすぐに購入する前、少し時間をおいて専門家の検証を待つことがスマートです。その間、インターネットセキュリティについて学習すると良いでしょう。

blade-runner-roy-batty-1もしエルドン・タイレルがちゃとセキュリティを考えていたら、自分のレプリカントに殺されなかったかもしれません。(ブレードランナーより)


IoTセキュリティに興味ある方は黒林檎さんのブログ「黒林檎のお部屋♬」をおすすめします。


  1. August Smart Lock and Connect Review: I'll Use Keys, Thanks ↩︎

  2. Heatmiser WiFi thermostat vulnerabilities ↩︎

  3. Hackers can now hitch a ride on car computers ↩︎

  4. 冷蔵庫が迷惑メールを発信? 「モノのインターネット・IoT」のセキュリティ不安が現実に ↩︎

  5. Hacked Cameras, DVRs Powered Today’s Massive Internet Outage ↩︎

  6. ルンバ、見取図の外販を計画 ↩︎