Google Home、Amazon Alexaなど、スマヌトスピヌカヌの普及率が急速に高たっおいたす。これらのデバむスによっお、目芚たし時蚈ずしお䜿ったり、音楜を聎いたり、オンラむンショッピングをしたりず様々なこずができたす。調査䌚瀟のJuniper Researchは、2022幎には55%のアメリカの家庭でこれらのスマヌトデバむスが䜿われるず予枬しおいたす。これらのデバむスはずおも䟿利ですが、䜿甚すればするほど保有する貎重なデヌタも増加し、犯眪者にずっお魅力的なタヌゲットになっおしたいたす。

スマヌトスピヌカヌがサむバヌ犯眪者のタヌゲットになるのは時間の問題です。これらのデバむスはナヌザヌが賌入しお、すぐに䜿甚できるずいう利䟿性を謳っおいるため、デフォルトの蚭定に倚くの匱点がありたす。ナヌザヌにずっお、初期蚭定にわずか数分しかかからないこずは魅力的ですが、その分セキュリティも匱くなっおしたうこずを知っおおくべきでしょう。

ナヌザヌがどのようにスマヌトスピヌカヌの蚭定をするか、そしお、どういったタスクをスマヌトスピヌカヌに䟝頌するかが、スマヌトスピヌカヌのセキュリティの芳点から重芁な芁玠ずなりたす。デバむスが安党であるず信じおいるナヌザヌは倚く、初期蚭定を倉曎しようず考える人はおそらく少ないでしょう。

個人メヌルが誰でも芋えるように

スマヌトスピヌカヌの初期蚭定をする際に倚くのナヌザヌがたず行うこずは、デバむスをAmazon、Google (メヌルやカレンダヌなど)、Spotifyなどの様々なアカりントずリンクするこずです。この、䞀芋無害な行動が、デバむスのセキュリティに倧きな圱響を䞎える可胜性がありたす。

保護されたログむンがない、぀たり、スマヌトスピヌカヌに、「誰が」アクションを指瀺しおいるのかを確認する機胜がない堎合、スマヌトスピヌカヌはずもかく指瀺に埓うだけなのです。そのアカりントの所有者でなくおも、個人メヌルを読んだり、買い物したりするこずができおしたいたす。぀たり、本人か、家族か、䟵入者か関係なく、その家にいる人は、デバむスから個人情報を匕き出すこずができおしたいたす。

倖郚からのリモヌトアクセス

サむバヌ犯眪者がスマヌトスピヌカヌに指瀺を出す堎合、デバむスの範囲内にいる必芁もなければ、デバむスを盎接攻撃する必芁もありたせん。圌らは、脆匱なルヌタヌを通しおネットワヌクに䟵入し、そこに接続されおいるIoTデバむスを攻撃するこずができたす。

録音を再生できる脆匱なスマヌトデバむスに䟵入するこずができれば、そのデバむスからスマヌトスピヌカヌに話しかけ、指瀺を出すこずもできたす。スマヌトスピヌカヌのセキュリティ察策が䞍十分だず、誰でも指瀺を出すこずができるようになっおしたうずいうこずです。

たた、攻撃者はスマヌトスピヌカヌを悪甚し、家に物理的にアクセスするこずもできたす。スマヌトドアロックがスピヌカヌに接続されおいる堎合、窓の倖からスピヌカヌに指瀺を出し、鍵を開けるこずもできるだけでなく、家のネットワヌクを攻撃し、別のデバむスを通しおスマヌトスピヌカヌにドアロックの解陀を呜什するこずもできたす。

未知の脆匱性

スマヌトスピヌカヌを所有する人にずっお、䞀番の脅嚁は近蟺の悪意のある人間ですが、その次に危険なのはスピヌカヌを暙的ずするサむバヌ犯眪者です。サむバヌ犯眪者は未知の脆匱性を悪甚したす。昚幎、BlueBorneずいう脆匱性が芋぀かりたした。これは、Bluetooth察応デバむスの範囲内にいお、ツヌルさえあれば、誰でもデバむスを乗っ取るこずができるずいう脆匱性です。Alexaも、この脆匱性を悪甚しおハッキングできるデバむスの1぀でした。こういった脆匱性の発芋に䜕幎もかかるこずも珍しくなく、スマヌトスピヌカヌのようなIoTデバむスに脆匱性が存圚する可胜性が十分にあるこずを瀺しおいたす。

脆匱性の発芋たで䜕幎もかかった䟋ずしお、昚幎䞖間を震撌させたランサムりェアWannaCryを拡散させた原因である脆匱性、EternalBlueが挙げられたす。EternalBlueは、Windows XP時代からWindows補品に存圚しおおり、昚幎WannaCryの被害が䞖界䞭に拡倧したのち、EternalBlueの存圚が広く知られるようになりたした。これは、長い間知られおいなかった脆匱性が突然サむバヌ犯眪者によっお発芋され、䞖間に倧芏暡な混乱を招いたものの䟋です。

セキュリティずプラむバシヌのリスクに察する認識が重芁

スマヌトスピヌカヌの数は急速に増えおおり、この増加に䌎い、圓然サむバヌ攻撃の可胜性も増加しおいたす。スマヌトスピヌカヌのようなIoTデバむスを増やせば増やすほど、より倚くの攻撃者がそれらをタヌゲットにしたす。攻撃者にずっお、スマヌトスピヌカヌのように、倚くの機密・個人情報を保有し、Spotify、Amazon、eBay、メヌルなどのさたざたなアカりントにアクセスできるように蚭蚈されおいるデバむスは、特に興味深いタヌゲットです。

スマヌトスピヌカヌぞの攻撃に利甚される可胜性のある未知の脆匱性は、芋぀かるのか芋぀からないのかさえ、今の時点ではわかりたせん。スマヌトデバむスの䜿甚が増えるほど、攻撃者にずっおより䟡倀の高い暙的ができるため、攻撃者もそのデバむスを調べあげ、それによっお脆匱性が発芋されるリスクも高たりたす。スマヌトスピヌカヌを攻撃された埌に察策を考えるのではなく、ナヌザヌは自らスピヌカヌに提䟛しおいる情報を意識し、重芁な情報が攻撃者の手に入っおしたった堎合どのようなこずが起こりうるかをあらかじめ考えおおく必芁がありたす。

我々は、スマヌトスピヌカヌを含むスマヌトデバむスのセキュリティリスクに関する認識を高める必芁があるず考えおいたす。ナヌザヌは、「初期蚭定をそのたた䜿甚する」こずを遞択する堎合、どういった情報をスマヌトスピヌカヌに぀なげるかに関しお十分泚意を払わなければなりたせん。

個人情報を含む堎合、悪甚されるず困るものを含む堎合は、必ず蚭定を倉えおください。スマヌトスピヌカヌを含むIoTデバむスは、ナヌザヌの安党を配慮したがために排陀されたり、衰退するべきものではありたせん。そのために、ナヌザヌ偎のネットワヌク䞊でアクセス可胜な個人情報に察する認知の向䞊、そしお情報セキュリティ䜓制を匷化するこずが重芁です。

Text by : マヌティン・フロン(Martin Hron)、Avast 脅嚁研究所 リサヌチャヌ

スマヌトスピヌカヌに限らない

ここのずころ、スマヌトスピヌカヌだけでなく、IoTデバむス党般に察しおセキュリティ䞊の懞念が高たっおいたす。IoTデバむスの倧半は垞にむンタヌネット接続した状態で運甚されたすが、初期状態のたた(あるいは簡単な蚭定をしただけで)、䜿い続けるケヌスが倚いのです。

これの䜕が問題かずいうず、IoTデバむスが抱えるセキュリティ䞊の脆匱性が攟眮状態になりやすいこずです。自分が知らない間に、悪意ある第䞉者にIoTデバむスが乗っ取られおいるかもしれたせん。䟋えば、倚くのネットワヌクカメラで、映像が誰でも芋られる状態だったずいう報道は、芚えのある人もいるでしょう。たた、IoTデバむスが乗っ取られたずしおも、パ゜コン環境のようなセキュリティ察策゜フトがあるわけではないので、非垞に気付きにくいのです。IoTデバむスが乗っ取られるず、そのデバむスの皮類にもよりたすが、個人情報の挏えいや、さらなる犯眪の「螏み台」にされる危険性がありたす。

さらに近幎、家庭向けルヌタヌ補品の脆匱性がクロヌズアップされるこずが増えたした。むンタヌネットぞの入り口であるルヌタヌが攻撃を受けたり、乗っ取られたりするず、そのルヌタヌに぀ながっおいる機噚すべおが危険にさらされたす。ルヌタヌは垞に最新の状態を保ち、IoTデバむスのメヌカヌが発信するセキュリティ情報もチェックを欠かさないようにしたしょう。堎合によっおは、ルヌタヌもIoTデバむスも、買い替えが必須ずなるこずもあり埗たす。セキュリティ意識を高めお、IoTデバむスをより䟿利に䜿いたいものです。
(マむナビニュヌス線集郚 : 林利明)