前回は、FA業界のIoTセキュリティを取り上げて、システム面と組織面のセキュリティ対策について説明しました。生産ラインの停止など、止まってはいけない工場ならではの制約があり、情報システムのセキュリティ対策とは違う面が多いことを実感いただけたと思います。今回は、再び一般消費者の目線に戻って、スマートホームのセキュリティを紹介します。このテーマは内容が豊富なため、2回に分けてお話します。
スマートホームのセキュリティとは?
スマートホームとは、スマートフォンやタブレット端末から、家の中のデバイスを遠隔で制御できたり、人工知能(AI)と連携して、生活パターンなどを学習し、自動でより快適な動作を行ったりするようなデバイスを含むソリューション全体を指します。
例えば、外出先からエアコンをON/OFFしたり、スマートフォンで鍵を開閉したり、さらには、家中のセンサーとAIを活用して、居住者の心地良い生活を実現する「家を丸ごとIoT化」なんてソリューションも登場しています(参考資料:AIスマートホーム) 。
これらに共通して言えるのは、「より便利に、より快適に」というこれまでのモノづくりのゴールを、IoTやAIといった先進技術を用いて、ますます進化させているということでしょう。
これまで、家電や生活に関わるデバイスを買う時に、セキュリティなんて気にしてこなかったと思います。では、どうしてスマートホームに「セキュリティ(*1) 」が関係するのでしょうか? ここまで連載を読んでいただいた皆さんなら、もうおわかりかと思います。そう、家電などがインターネットにつながることで、外部からのサイバー攻撃の脅威が大きくなるからです。
*1 防犯などの意味ではなく、サイバーセキュリティを指す。
スマートホームのセキュリティ脅威とは?
では、スマートホームのセキュリティ脅威とは具体的にどんなものでしょうか? まずは、第2回のAmazon Dash Buttonを取り上げた時と同様に、「発熱・発火などの安全面」「個人情報(プライバシー)の窃取」「踏み台化」が挙げられます。
これらに加えて、スマートホームは、単なるボタンではないシステム全体を指すので、一般の情報セキュリティでも考えられる「侵入」「改ざん」「妨害」「不正使用」「なりすまし」などといった脅威も考慮に入れる必要があるでしょう。
これらの脅威の具体的な例をいくつか挙げてみましょう。
まず、攻撃者が、「Mirai」のようなIoTマルウェアを用いて、対策の行き届いていないCCTV(Closed-Circuit Televisionの略で、監視・防犯カメラなどのカメラ装置と有線ケーブルで結んだテレビやモニタ、またはそれらのシステム全体のこと)などのデバイスを連鎖的に乗っ取って「踏み台化」することが考えられます。現実に、踏み台化したデバイスが、DDoS攻撃(*2)と呼ばれるサイバー攻撃に悪用されている例が観測されています(参考記事)。この場合、踏み台にされた側には実害がないため、気づかないうちに他人を攻撃する助けをしてしまっているかもしれません。
*2 大量の通信元から、リクエストを特定のウェブサイトに一度に送ることで、本来のサービスを停止させる攻撃のこと
そのほか例えば、IoT冷蔵庫のおすすめレシピが「改ざん」されて、毎日同じメニューを勧められたら困りますよね。「なんか毎日カレーばっかりだなぁ」と気がつくことができればいいですが、AIは、ブラックボックスで答えが出てくる場合が多いので、盲信してしまいやすい点が怖いです。
いろいろなAIソリューションが世に広がり、「AIは必ず正しい」という認識が一般化したあとで、それが乗っ取られたとすると、日本中の食卓が毎日カレーになっても誰も疑わないコントのような世の中が出現するかもしれません。こう考えると、「改ざん」は思ったよりもずっと恐ろしい脅威かもしれません。
とはいえ、スマートホームにおいて一番困る脅威は、プライバシーを窃取されてしまうことでしょう。スマートホームは、「ホーム(家)」という究極のプライバシー空間をインターネットに接続するわけですから、やはり、その点が一番の脅威になります。
Webカメラが乗っ取られて、家の中が丸見えなんてわかりやすい例に限らず、例えば、スマートメーターの電力使用量の状況が窃取されるだけで、皆さんの生活パターンが丸見えになってしまうなんてこともあるのです。
以下の図は、2010年に米国で発行されたスマートグリッドのセキュリティガイドラインで紹介された図に説明を加えたものです。
力使用量と生活パターンの関係(NIST IR 7628 p329より抜粋) |
このように、電力量の使用状況を分析することで、その家の生活パターンがわかってしまいます。もちろん、この情報は諸刃の剣で、うまく活用すれば生活改善にも使えるものですが、不用意に漏れてしまうと、例えば、不在の日に物理的に泥棒に入られるという実害につながるかもしれません。
この事例は、瞬間で見ればたいした情報ではありませんが、継続的に収集することで、プライバシーそのものとなる場合があるという例として、とても興味深いです。このように、新たなソリューションが生まれるたびに、これまで想像もつかなかった脅威が生まれるというのは世の常で、スマートホームもその例にもれず、これからもさまざまな脅威が増え続けることでしょう。
今回は、スマートホームで起こりうる脅威のお話を中心に紹介しました。スマートホームは、実現できることの幅が広く、Amazon Dash Buttonと違い、よりインテリジェントなデバイスを用いるために、そのセキュリティ脅威もバラエティに富んだものとなりました。次回は、これらの脅威を踏まえて、スマートホームのセキュリティ対策についてお話したいと思います。
著者プロフィール
佐々木 弘志(ささき ひろし)
マカフィー株式会社 セールスエンジニアリング本部 サイバー戦略室 シニアセキュリティアドバイザー CISSP
2014・2015年度に、経済産業省の委託調査で米国や欧州の電力関連セキュリティガイドラインの現地ヒアリング調査を実施、日本国内の電力制御セキュリティガイドライン策定に貢献。
また、2016年5月からは経済産業省非常勤アドバイザー「情報セキュリティ対策専門官」として、同省のサイバーセキュリティ政策に助言を行う。