ネットの闇から我が身を守る基礎知識「IOTクライシス」

フルタニ
こんにちは、フルタニです。放送局で番組作りをしてました。

誰でも簡単にネットにつながるこの時代。当然その中にはネットに詳しくない人も増えています。

そんな人にとってプログラムの欠陥や脆弱性と言われてもなんのことかわかりませんよね。実は家の鍵を開けっ放しにしていることと同じだということなのだそうです。

ネット上で何が起きているか素人にもわかりやすく説明してくれる本をご紹介します。

IOTクライシス

2017年に放送されたNHKスペシャル「あなたの家電が狙われている〜インターネットの新たな脅威」で取材した内容を基に追加取材してまとめたリポートです。

リモートワークが当たり前となった今日この頃。仕事に欠かせないのがウェプカメラです。ネットに繋いでテレビ会議など需要は急増。商品も増えています。ところがウェブカメラには意外に気づかない盲点があることが見えてきました。
それは何かと言うと、
「家のドアを開けっ放しにしていることに住人が気づかず、第三者に家の中を見られている」
ということです。
この程度の話は耳タコのように聞かされてきたので今更驚きませんが。何が起きているのか。なぜ起きるのか。何が危険なのか突き詰めて考えることはありませんでした。
プライバシーや守秘義務という壁や、普段使う家電機器がもともと悪意を持って使われる前提では考えていなかったからです。
しかし、全ての機器がネットに繋がることが前提となった今、問題は芋づる式に様々な問題につながっていることがわかりました。これはヤバイことです。

以下、ざっくりウェブカメラの闇をのぞいてみました。

無防備なウェブカメラの映像を集め、勝手に掲載しているサイトが「インセカム」だ。インターネット上の住所であるIPアドレスを自動的に検索し、パスワードで守られていないウェブカメラの映像をネット上で後悔している。

世界中から丸見え

インセカムには日本国内と思われる映像がある。その中の映像をGoogle Mapで特定して現場に行くと商店街の防犯カメラと判明。
そのカメラは警備会社が自分たちの機材のPRのため取り付けたものだった。
警備会社に取材すると、会社は防犯カメラの映像がネット上で公開されるリスクを認識していな買ったことが判明した。
同様なケースは他にもあるが、問題なのは自分たちのセキュリティ対策に落ち度があったことを知られたくないという姿勢が強いこと。「映像が流失することの何が問題なのか」と開き直るケースもあった。

パスワードは破られる

およそ65000あるドアをひたすらノックしてどのドアが空いているか調べ、空いているドアが見つかったらある命令を実行してユーザー名とパスワードを取得する。解析を初めてわずか五分でカメラは乗っ取られた。
「このカメラのプログラムにはある特定の命令を送ると、秘密のはずのユーザー名とパスワードが表示されるというあってはならない設計上のミスがある。それが脆弱性とい欠陥です」

脆弱性がわかっているのに修正できない理由はコストがかかること。販売業者は誰がソフトウェアの開発を行ったのか把握できずアップデートしたくてもできないのだと言います。

ハッカーのGoogle

アメリカのセキュリティエンジニアであるジョン・マザリーさんが開発したSHODANやミシガン大学のチームが開発したcensysという特殊な検索サイトを使うと、世界中のインターネットに繋がった機器の検索が可能になるのだそうです。
検索一つで所有者情報やパスワード、脆弱性の有無など「見えてはいけないものが丸裸になる」と言います。
防犯カメラの映像を見た何者かが不在を見計らってその場所に侵入する。写り込んだ診察券や保険証の情報を盗み取る。などということが可能になるのです。

本書は”脆弱性がある”ということは”公開されている”こととほぼ同義なのだと指摘します。脆弱性とは専門用語ですが、私たちのような情弱者はもっとこの言葉に神経質になった方がいいように思いました。

まとめ

IOT機器はセキュリティが比較的甘い上に、ネットワーク上に常時接続されているものも少なくないと言います。つまり攻撃者にとっては侵入しやすく悪用もしやすいという理想的環境なのだそうです。
技術に詳しくない私たちが唯一できることは「安心できない」と意識して使うことしかありません。
「私たちにとって便利なものは、犯罪を企む者にとっても便利なのです」
セキュリティを考えることは投資と思い、転ばぬ先に知識を身に付けるべきことのように思います。