ここから本文です

IoTデバイスは“通りすがり”でハックできる - セキュリティカンファレンス「Black Hat 2016」で脆弱性が明らかに

ReadWrite Japan 9/3(土) 22:30配信

ReadWriteがIoTを愛してやまないのは何も隠すことではない。これは、我々の狙いの焦点でもあり、これからのテクノロジーでもっとも興味深い分野の1つである。しかし、完璧とはまだまだいえないものであり、特にセキュリティ問題は長いことIoTの懸念点となっている。

8月3日から2日間に渡って開催された、世界最大の情報セキュリティカンファレンス「Black Hat USA 2016」では、これらの問題がまだ解決には程遠い理由を明らかにした。

このカンファレンスに参加すると、自分の持っているデバイスがこれまでになく危険にさらされていることに気づかされる。多くの参加者たちは何かしらデバイスを携えて参加したが、それらは個人情報を含んでいない、かつ、イベントの後で簡単にフォーマットできるものばかりだった。ここのパブリックネットワークに接続することはサメだらけの海で泳ぐようなものであるためだ。参加者たちのなかには、クレジットカードではなく現金を、ラップトップではなくノートとペンを持ってきた者もいれば、運転免許を家に置いてきた者までいたという。

では、IoTデバイスの場合はどうだろうか。

イスラエルから来た大学院生のイヤル・ローネン氏は、『Philips Hue』ライティングシステムのセキュリティについて研究していた。彼が研究している間、彼は割り当てられたネットワークではなく、彼自身が用意したネットワークに接続しているPhilipsのライトを計略でだますようなソリューションを作り上げた。彼の編み出した手法は、10-20mの距離内にあるこれらのライトのコントロールを奪い、そのライトを20-70mの距離内なら操作できるというものである。この距離は、通りすがりの車やドローンから信号を送るには十分である。

◇Black Hat USA 2016の様子
https://twitter.com/wmaxeddy/status/761234914020777984


彼は、この脆弱性を明らかにするデモをBlack Hatのセッション中におこなった。彼のデモではいくつかのライトを操作したに過ぎないが、IoTデバイスのセキュリティを突くのがいかに簡単なことであるかを聴衆が理解するのには十分なものだった。



■IoTセキュリティ脆弱性が及ぼす影響

IoTはデータ主体である。情報はデバイス間でシェアされ、それらやりとりの多くはスクリーン上で見れるものではない。もしPCがハックされ、スパミングやDDoSのボットネットとして悪事の加担をしているとしても、それを特定するのは極めて難しい。

では、もしIoTデバイスの脆弱性がつかれたとして、それを我々はどのように知り、どのように直せばいいのだろうか? 突然、家のスマートオーブンが詐欺師に代わって、スパムを送り出したらどうするだろう? そして、先ほどのライトや子供のモニターをハイジャックするよりはるかに心痛を引き起こす可能性のある問題が存在する。

スマートドアロックや監視カメラがハックされた時のインパクトは、考えている以上に大きなものとなる。特に医療用IoTデバイスは、その脆弱性が直接命を奪いかねないという点が大きな懸念点である。これらの計測や動作を狂わせるコードがデバイス上で動作することは脅威だ。

こういったことが意味するものはなんだろう? まず、IoTにはまだまだ解決しなければならないことがあるということ。何度も言うようだが、どんな意図や目的であろうとも、IoTソリューションはまだ初期段階であり、よくテストされたとは言いがたいものだということだ。

今年の5月、2部構成の記事「IoTセキュリティの残念な実態」を掲載した。今回のBlack Hatにて行われたデモは、IoTにあふれた我々の生活の実現のためにはまだ乗り越えなければならないことがあるということを示している。

ReadWrite[日本版]編集部

最終更新:9/3(土) 22:30

ReadWrite Japan

TEDカンファレンスのプレゼンテーション動画

失うことで不完全さの中に美を見出した芸術家
画家のアリッサ・モンクスは、未知のもの、予想しえないもの、そして酷いものにでさえ、美とインスピレーションを見出します。彼女は詩的で個人的な語りで、自身が芸術家として、そして人間として成長する中で、人生、絵の具、キャンバスがどう関わりあってきたかを描きます。 [new]