ウェブカメラやベビーモニターなどを含む 市内の50万台ものスマートデバイスがサイバー攻撃に脆弱な状態
セキュリティソフトのベンダーであるAvastは、スペイン・バルセロナにおける公共および民間のウェブカメラの脆弱性などを含む、スマートデバイスを対象とした最新の実験結果を発表しました。Avastは今回、バルセロナにあるウェブカメラとベビーモニターの2万2,000台以上が攻撃に脆弱であることを特定しました。これは、サイバー犯罪者がそれらのライブストリーミング映像をインターネットに直接配信できるということを意味します。さらに、スマートケトル、コーヒーメーカー、ガレージの自動ドア、冷蔵庫、サーモスタット、その他のIP接続デバイスなど、インターネットに接続しながらも攻撃に脆弱な状態にあるスマートデバイスはバルセロナで49万3,000台以上、スペイン全土では530万台以上にものぼることが確認されました。
ウェブカメラなどのデバイスの脆弱性については、セキュリティ、法律、プライバシーなど、取り組むべき問題は多岐にわたります。のぞき見しようとすれば、アクセスするだけで「Mobile World Congress」の来場者や、個人的な空間または公共の場にいるバルセロナ市民の様子を見ることや、それらのストリーミング映像をインターネット上に直接配信することも可能です。さらには、デバイス自体をボットに変えることも容易に行えます。数百・数千もの脆弱なデバイスを悪用し、ボットネットを構築することで、サイバー犯罪者はサーバーやウェブサイトをダウンさせることもできます。感染したデバイスは他のデバイスを感染させ、それらをボットネットに組み込み、コントロールすることで、オーナーに危害を加えるために利用されることもあります。これには、キッチンやその他の家庭用製品のデバイスも含まれ、サイバー犯罪者は遠隔でそれらを操作して、例えばケトルの中の水を沸かすことすらできます。
一方、スマートデバイスのメーカーも、行動データ、連絡先情報、クレジットカード情報など、ユーザの個人情報を収集・保存しており、これらがサイバー犯罪者に傍受された場合、さらにリスクは高まります。もちろんこれらは、バルセロナやスペインだけの問題でも、ウェブカメラに限定されるものでもありませんが、モバイルとテクノロジーの業界幹部を数千人規模で招き、「Mobile World Congress 2017」を今週開催しているバルセロナにとっては、特に重要な課題といえます。
Avastによる実験の結果、以下の事実が確認されました。
· 脆弱なスマートデバイスの台数は、スペイン全土で530万台以上、バルセロナでは49万3,000台以上
· ハッキング可能なウェブカメラの台数は、スペイン全土で15万台以上、バルセロナで2万2,000台以上
· 脆弱なスマートケトル/コーヒーメーカーの台数は、スペイン全土で7万9,000台以上
· Telnetネットワーク・プロトコルを使用するデバイスの台数は、スペイン全土で44万4,000台以上。これは、2016年に米国のDNSサービスプロバイダDynを攻撃し、Twitter、Amazon、Redditなどのインターネットサイトのクラッシュを引き起こしたボットネット「Mirai」の作成で悪用されたタイプのプロトコルです。
今回の実験は、IoT検索エンジンのスペシャリスト、Shodan.ioと共同で実施しました。サイバー犯罪者をはじめ、誰にでもインターネット上のIPアドレスとポートをスキャンし、それぞれのIPアドレス上にあるデバイスを分類することが、いとも簡単に行えることを実証しています。特別なノウハウなどがなくとも、ハッカーは、デバイスの種類 (ウェブカメラ、プリンター、スマートケトル、冷蔵庫など)、企業ブランド、モデル、実行中のソフトウェアのバージョンについて特定することができます。
AvastのCEOであるヴィンス・ステックラー (Vince Steckler) は、次のように述べています。「一般的に知られるデバイスの脆弱性については、データベースが公開されています。サイバー犯罪者にとって、それらのパズルのピースをかき集め、脆弱なデバイスを特定するのは、膨大な労力や知識も必要なく、簡単なことです。さらに、デバイスがパスワードで保護されている場合も、一般的なユーザ名とパスワードを解読できるまで試行することで、ハッカーがデバイスを乗っ取るケースが往々にしてあります。」
Avastの最新の研究実験からは、深刻さを増す問題が浮き彫りとなっており、これが解決されない限り、インターネットへの接続デバイスの増加に伴って事態は悪化する一方です。
前述のヴィンス・ステックラーは、次のようにも述べています。「例えば、ウェブカメラがライブストリーミングを行い、ハッカーに限らず誰もがこれに接続できることで、『Mobile World Congress』にご来場の一般の人々や近隣の児童、労働者、市民の様子を気づかれることなくのぞき見することも、サイバー犯罪者にとっては簡単です。この状況自体もプライバシーの落とし穴と言えますが、実際これよりもはるかに可能性として考えられるのは、セキュリティの不十分なウェブカメラ、コーヒーマシン、スマートTVをサイバー詐欺師がハイジャックし、大規模なボットネットを構成するボットに仕立て上げるという危険性です。こうしたボットは、大手ウェブサイトをダウンさせるため、サーバーへの組織的攻撃で使用されることがあります。将来的には、サイバー犯罪者が無防備なIoTユーザを標的とし、クレジットカード情報などの個人情報を収集するケースも考えられます。」
脆弱性を認識し、すべてのネットワークデバイスを迷惑な攻撃から守るため、ユーザはソフトウェアを最新の状態に維持しつつ、強力かつ複雑なパスワードを選択することで、オンラインの世界をより安全にするために貢献する必要があります。さらに、Avastは、Avast Wi-Fi Finder Androidアプリの新機能の提供開始を予定しています。Avast Wi-Fi Finderを使用することで、ユーザは外出時にでも安全で高速なWi-Fiを見つけることが可能です。最新版では、アプリがWi-Fiネットワークを自動スキャンし、デバイスの脆弱性を診断します。また、ユーザは段階的な修正指示を得ることで、あらゆるセキュリティの問題を解決できます。
Avast Wi-Fi Finderは現在、Google Playで提供しており (https://play.google.com/store/apps/details?id=com.avast.android.wfinder)、最新のスキャナー機能を搭載したアップデート版は、今夏の提供開始を予定しています。
(以上)