HACKER MEDICINE

スマートホームに対するハッキングが実に簡単であることを、フォーブス誌のカシミール・ヒル（Kashmir Hill）記者が報じています。記事によると、「Google でごく単純な言葉を検索するだけ」で、ある有名企業のオートメーションシステムを備えた住宅のリストが表示されたといいます。「（オートメーション）システムは、検索エンジンでクロールされていた」とヒル記者は書いています。現在は停止していますが、それまでのシステムはユーザー名やパスワードを設定しなかったため、検索エンジンの結果をクリックすれば、システムを完全に制御できてしまいました。記者はオンラインで発見した住宅のうち 2 軒に連絡し、許可を得たうえで照明の点灯と消灯が可能であることを実演しています。また、住宅にある各種の機器も制御できたということです。これは、ホームオートメーションシステムに潜むセキュリティ上の問題の一例にすぎません。

ホームオートメーションとは、照明、暖房、ドアや窓の施錠、監視カメラなどを自動化するシステムです。比較的新しいシステムですが、市場は急成長しており、米国だけでも 150 億ドルに達します。ただ、どのような新技術でも同じですが、潜在的なセキュリティリスクは避けがたいものです。

ホームオートメーションシステムのセキュリティ脆弱性については、Black Hat 2013 セキュリティカンファレンスでセキュリティ研究者が個別に 2 つのプレゼンテーションを行う予定です。1 つは、プロプライエタリな無線プロトコルの Z-Wave における脆弱性についてのプレゼンテーションです。Z-Wave は、ホームオートメーションの制御パネル、セキュリティセンサー、防犯システムなどの組み込みデバイスで幅広く利用されています。これには欠陥があり、暗号化された Z-Wave デバイスの通信を傍受すると、他の Z-Wave デバイスを無効にすることができてしまいます。「Home Invasion 2.0」と題された、もうひとつのプレゼンテーションは、いくつかの人気ホームオートメーションシステムで判明した脆弱性に関するものです。「約 10 種類の製品を調査しましたが、侵入を果たせなかったのは 1 つか 2 つで、大部分は何のセキュリティ対策も講じられていませんでした」と SpiderLabs のダニエル・クローリー（Daniel Crowley）氏は述べています。多くの機器では、アプリをモバイルデバイスにダウンロードし、それを使ってリモートでオートメーションシステムを制御できるようになっています。システムの多くは、モバイルデバイスとホームシステムの間で通信するときに何の認証も使われていないため、悪質な攻撃者による制御を許してしまうことがわかったと研究者は指摘しています。

米国の住宅におけるホームオートメーションシステムの普及率はまだ 3% 程度ですが、この数字は増加する傾向にあり、一部のアナリストによれば今後数年間に倍増するという予測もあります。

新旧を問わず技術の導入を急ぐときには、その技術に伴うセキュリティがともすると軽視されがちです。今回のケースのように脆弱性が露見することで、堅固なセキュリティの重要性が再認識されることを期待します。

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。