SPECIAL CONTENTS

特集 | ビジネスやITの最新動向/技術についてセキュリティ観点からレポート

玩具のIoTへのサイバー攻撃は「小説より奇なり」

この記事をシェア

IoT(モノのインターネット)は着実に生活空間に浸透し始めており、最近では、子供向けの玩具にも活用されている。しかし残念なことに、すでに米国の玩具メーカーは大量の情報流出を起こしてしまっている。これほど危険性が訴えられているのに、なぜこうした事態が生じているのだろうか。

この記事は、ESETが運営するマルウェアやセキュリティに関する情報サイト「Welivesecurity」の記事を翻訳したものである。

玩具のIoTへのサイバー攻撃は「小説より奇なり」

プライバシーの漏えいとサイバーセキュリティの不備は、日常茶飯事になりつつある。しかし、それは、奇妙な事例がなくなってしまった、ということを意味するわけではない。あまりの奇妙さにほとんど信じられない、ということも今なお起こっているのだ。百聞は一見にしかず、次に挙げる2つの画像にまつわる事例を紹介したい。

まず、ちょっとおどろおどろしい上の画像を見ていただきたい。これは、2016年にESETがIoTセキュリティの啓蒙を意図したポスターとして作成したものである。この画像には、インターネットに接続できるさまざまな「モノ」が描かれている。自動車もあれば、家電機器もあり、ウェアラブル・ウオッチもあれば、熊のぬいぐるみもある。

このポスターそのものは、ESETが2016年10月に米国サイバーセキュリティ連盟(National Cyber Security Alliance)と協力して行った調査の結果を反映している。毎年10月は、全米サイバーセキュリティ自覚推進月間であり、調査の目的は、消費者のIoTに対する態度を評価することだった。調査結果が公表されたのはハロウィーンが近づいた10月下旬であり、加えて、SFホラーTVドラマ「ストレンジャー・シングズ 未知の世界」の人気が高まっていたこともあり、ESETは、「世にも奇妙なモノのインターネット」が、このポスターにぴったりの気の利いたタイトルになるのではないかと考えた。そのためテディベアは、わざと不気味にしたのだ。

次に上の画像を見てもらおう。これは、実際に米国で売られている玩具で、インターネットに接続して遊ぶ。名前は「クラウドペット」(CloudPet)といい、カリフォルニアに本拠を置くスパイラルトイズ(Spiral Toys)社のブランドである。クラウドペットは、インターネット上で音声メッセージを録音、送信、受信できる。この玩具は、2017年初頭にニュースをにぎわしたのだが、内容は全て悪いものだった。

まず、Web上に保存されたユーザーの何十万件にも上る録音が、誰かがその気になって探せばすぐにアクセスできるようになっていた。それから、この問題に関して販売元に何度も警告が与えられていたにもかかわらず、録音された200万件の音声メッセージ(たいていの場合、親子間で交わされたきわめて個人的なメッセージである)が、基本的なスキルさえあれば誰にでも聞ける形で、かなり長い期間、放置されていた。次に、セキュリティ研究者トロイ・ハント(Troy Hunt)氏が、自身のブログで、この出来事をどんなふうに見ているか、少し長いが引用しよう。

「今や明白なことだが、誰もが、こんなふうに野ざらしになったデータベースのことを知っている。長い間、皆に開かれたまま放ってあり、その中には「非常に」個人的なデータも含まれている。そうしたデータを特定し、外に持ち出す者がたくさんいると考えて間違いない。なぜなら、実際にそうしている人物がいることを私は知っているからだ。この種のものをスキャンする習慣は、すさまじい勢いで広まっており、そのデータ(親子間の親密なやりとりが録音された音声ファイルも含む)は今や、数知れぬ人々の手に渡っているのだ」

ハント氏はこのように強調した後に、続けて、「しかし事態は、さらに悪くなっていった」と述べている。その企業は、この玩具とその持ち主に由来するデータを適切に処理せず、きちんと防御もしなかった。実際に警告を何度も受けたにもかかわらず無視し続けた。それだけではない。「クラウドペットのデータは、その権限を持たない者たちにより頻繁にアクセスされ、彼らの意のままに消去され、それを盾に何度も身代金を要求されたのである」

事態はこれ以上悪くなることはなく、「世にも奇妙なモノ」のポスターのテディベアのような恐ろしいことは実際には起こらないとお思いなら、後で説明するように、それは何かの間違いである。しかしその前に、 ESETがNCSA(米国国立スーパーコンピューター応用研究所) と共同で行った調査の結果、分かった事実を紹介しよう。すなわち、「米国人の40%以上がIoT機器は安全でセキュリティ上問題ないとは思っておらず、またその半数以上が、サイバーセキュリティが不安でIoT機器の購入をあきらめたと答えている」のである。そして、特にクラウドペットのような玩具に関わる調査項目では、「回答者の36%が、スマート玩具で遊ぶ子供たちのプライバシーとセキュリティについて非常に心配している」のである。

言い換えれば、インターネット接続機器を作っている企業は、自社製品のセキュリティと、自分たちが処理する個人情報のプライバシーとに関する懐疑的意見や懸念が存在することを、すでに突き付けられている。VTech事件のように、セキュリティが不十分だったせいでネット接続玩具が感染した事例は、以前にもあった。また、すでに「ウェアラブル」や「コネクテッド・カー」のセキュリティ・リスクに関する記事を公表しているが、そこではごく控えめにではあるが、音声反応・ネット接続機器が思わぬ副作用を引き起こす可能性があるとことをすでに述べていた。

インターネットは別にして、以上の事柄の全てを結ぶ共通項は何であろうか。それは、新たなテクノロジーを生み出しながら、そのテクノロジーがはらむリスクについては肝心の決断をしない人々が多すぎる、という事実である。このように重要な決定がなされないという事態は、無頓着な消費者がセキュリティの不十分な製品を買ってしまうという問題だけでなく、より広範なデジタル世界全体の問題にもつながってくる。2016年10月21日に起きた大規模なDDoS攻撃がそうであるように、何百もの企業に収益の損失と予算外のコストを強いたのであり、しかもその原因は、IoT機器の安全が確保されていなかったことにあった。医療の世界は今、患者の健康に関するデータを電子的に記録し、インターネットに接続するのがますます普通になってきている。そうした状況であれば、この種の攻撃が患者の治療体制を襲うのは、もはや時間の問題にすぎないだろう。

ほかの機器についても、ちょうどあのかわいらしい玩具のように、ユーザーの秘密をやすやすと明け渡してしまうと聞けば、人はこんなふうに思うに違いない。患者が、脆弱なセキュリティのせいで自分のプライバシーが失われるのではないかと恐れるために、ネットに接続したモニタリングや治療機器を拒否し、その結果、大きく期待されている遠隔医療の利点がなし崩しにされてしまう、といったことが早晩起きるに違いないと。しかも「その時」は思ったより早く訪れるかもしれない。というのも、上述したクラウドペットの話には、まだ先があるからだ。設計上の不備や不十分なリスク評価のせいで、幾つかの記事(「マザーボード」誌「コンテクスト」誌)に書かれているように、これらの「モノ」は、スパイ機器に成り代わる可能性があると分かったのである。「そんなのはただのオモチャにすぎない」と言う人がいるかもしれない。しかし、この話のようなケースが続けば、もっと重大なデジタル・テクノロジーに対する人々の信頼が揺らぎ、その結果、かなりの経済損失が生まれる可能性さえある。このように想像するのは、それほど難しいことではない。

この記事をシェア

IoTのセキュリティ対策に

マルウェア情報局の
最新情報をチェック!