先日の記事でも、セキュリティ専門家がIoTの未来には後ろ向きであることをご紹介しましたが、アップした直後に、Samsung冷蔵庫の脆弱性に関するニュースが報道されました。

SamsungのIoT商品のセキュリティ問題が指摘されたのは今回だけではありません。University of New Havenの研究者達は、Samsung Gear 2 Neoと、LG G Watchから、かなり簡単に、健康情報、位置情報、メールのアドレスなどの個人情報を抜き取ることができると指摘しています。

今年の三月には、同社のスマートTVが、音声認識機能を使用して、テレビの前のユーザーの音声を録音し、第三者へ提供するとなっていたことで議論を呼びました。2013年には、LGのスマートTVが、イギリスのITコンサルタントの視聴行動や、テレビにつないだUSBスティックにどんな番組が保存されているかといった個人情報を、韓国の本社に送信していたことで議論になりました。Samsung 同社のすべてのデバイスは2019年までにIoT対応となるといっていますが、セキュリティに関してはどのような対策をとっているのか公表するべきでしょう。

しかし、SamsungやLGの事件は業界の現状を鑑みる限り、全く驚くことではありません。調査会社であるガートナーは、2020年までに一家に500台以上のIoTデバイスが出現すると予測していますが、ベンダが今のスピードでIoT化を進めるのであれば、Samsung冷蔵庫の事件は、我々の日常になる可能性があります。

先日のDef Con　23では、Qihoo 360 Technology のLI Jun 氏とYANG Qing氏が、近距離無線通信規格の一つであり、Samsung, Philips, Motorola, AT&T, Bosch and Silicon LabsなどのIoTデバイスに使われているZigBeeの脆弱性を指摘しています。ファームウェアの暗号キーを探し出してスニッフィングすることでデバイスをハックする手順を公開しています。例として使われたのは、Philipsのスマート電球ですが、ZigBeeがハッカーフレンドリーであることが証明されてしまいました。ZigBeeは、すでに、1,000以上のデバイスに使用され、スマートメーターに関しては、数百万台に使用されています。

@CognosecのTobias Zillner氏とSebastian Strobl氏は、ZigBee Exploitedと題されたプレゼンテーションで、ZigBeeを使用したスマート家電は、アタッカーが物理的に接触することなしに、デバイスを支配下に置くことが可能であることを指摘しています。また、暗号化は強固だが、実装にかなりの問題があるとしています。各ベンダーは、デバイスのリリーススピードと、コストを重視するあまり、必要最小限の対策しかとっていなのが問題だとしています。

セキュリティ調査会社のMobileIronは、Def Con　23でスマートウオッチの脆弱性を指摘しています。

現在の問題は、IoTデバイスには、大量の個人情報を扱う上に、個人の家庭での行動パターンや趣味嗜好などの情報が含まれるのにもかかわらず、どれだけ重要な情報が扱われるか、ということが十分理解されていないことです。さらに、個人の行動パターンが漏れるだけではなく、家庭内の覗き見も可能です。

仮に悪意の第三者が家電をコントロールした場合、寒冷地や、酷暑の土地であれば、冷暖房を切ってしまうことで、ターゲットを殺害することも可能になります。例えば、以前私が住んでいたアメリカでは、夏に大規模な停電があり、冷房が切れてしまったことで、お年寄りや病弱な人が亡くなってしまったり、心臓発作を起こすということが発生しています。スマートカーがハックされたら、そのまま海に飛び込まされたり、衝突する可能性もあります。家やオフィスのスマートロックがハックされた場合、建物内から出られなくなったり、入れなくなる可能性もあります。スマートメーターやスマート温度計、スマートポットをハッキングすることは、特定個人の行動パターンを知りたいストーカーや空き巣には、素晴らしい情報源になるでしょう。スマートウオッチの健康情報からは、上司に自分の健康状態がばれてしまうかもしれません。

しかし、セキュリティ対策には相応のコストがかかるということが一般に理解されない限り、ベンダはスピードとコストを優先し、セキュリティ対策の不十分なデバイスが市場に出回るでしょう。