1年の最初の1週間が意味するものは、人によってそれぞれ異なります。アメリカでは、多くの人が新年の誓いを立ててジムに出かけますが、日本では、家族と過ごすために皆が帰省するため東京から人がいなくなります。私にとっては、通称CESとして知られるConsumer Electronics Show(コンシューマー・エレクトロニクス・ショー)で発表および展示されたあらゆる新技術の製品について調べ始める期間です。これまで、CESではセキュリティが話題の中心になることはありませんでしたが、インターネットに接続する製品や「スマート」機能が組み込まれた製品がますます増加するなかで、セキュリティは非常に大きな注目の的となっています。テクノロジーの開発者がイノベーションに力を注ぐ場合、セキュリティは後回しにされがちです。今年の発表や報告すべてに目を通すなかで、セキュリティに関する私の「スパイダーセンス(第六感)」は常に働いていました。ここでは、より注意が必要な分野についていくつか紹介していきます。
スマートホーム
私はスマートホームのコンセプトの大ファンです。「スマート」な機能性をさらに追加するために、家中のスイッチ、サーモスタット、電球の交換に多くの時間を費やしてきましたが、セキュリティ上の懸念があるために、アップグレードしていない箇所もあります。
スマートドアベルとロック:今年のCESではスマートドアベルとロックのサンプルが数多く出展されていました。私のお気に入りは、新しいバージョンのAugustスマートロックです。スマートデバイスがドアの内側にあるため、物理的な改ざんを防止できる手法が気に入っています。最近の記事では、別のブランドのスマートドアベルを入手したハッカーが実際に家庭内のWi-Fiネットワークへ侵入できた方法について紹介されていたため、この点は特に重要です。このケースでは、メーカーが、この問題を改修するファームウェアのアップグレードを直ちにリリースしていましたが、大きな課題が浮き彫りになっています。現在のところ、こうしたデバイスを設置している人々の大半は、私と同様、ファームウェアのアップデートやパッチの適用に対応できるくらいこうしたテクノロジーを把握している熱心なユーザーです。しかし、こうしたデバイスの普及が進むにつれて、多くの自宅所有者が対処方法に気付かなかったり、知らなかったりすることで、大きなセキュリティホールが生じるでしょう。
スマート冷蔵庫:家の中のセキュリティについて話題にするとき、私はスマート冷蔵庫をよく一例として挙げています。今年のCESでは、この分野の新しいイノベーションがいくつか紹介されていました。当初は、このアイディアは少し行き過ぎのように思われましたが、(晩御飯を食べさせようと私が子どもたちと毎夜繰り広げる戦いのように)どれくらいの時間を台所で過ごすのか考えてみると、家族に最新の情報を知らせるためのスマートハブとして冷蔵庫を使用することは、理にかなっています。
スマート冷蔵庫に関するこれまでの最大のセキュリティの懸念事項は、侵入を受けて、ネットワークのWi-Fiトラフィックのリスニングポストにされてしまう恐れがあることでした。今では、全員のスケジュールを記録するのに冷蔵庫を使用していると、個人情報を入手しようとするサイバー犯罪者にとって格好の標的となる恐れがあります。
ドローン
ドローンは、今年のCESの目玉でした。
Intelは、ベートーベンの交響曲第5番「運命」によって演出された100機のドローンによって世界記録を打ち立てました。手の平に収まりHD動画を撮るものから、タクシーの代わりに人々を運べるように設計されたドローン(「Lyft」という名前を他の誰かが付けたのは残念なことです)まで、あらゆる形状とサイズのドローンがありました。以前、ドローンのハッキングのされやすさについて取り上げましたが、CESで目立っていたのは、ドローンを製造している企業の数の多さでした。市場に出回るドローンの数は増加する一方ですが、規制やセキュリティ規格はほとんど定められていません。これは、ドローンがハッカーにとって格好の標的になっていることを意味します。配達にドローンの利用を検討しているAmazonのような企業や、CESで紹介された「セルフィードローン」の増加によって、サイバー犯罪者は、最新の購入品やビーチで楽しんでいる写真を盗んでしまうかもしれません。
スマートカー
今年は、自動車10大メーカー中7社がCESに出展し、昨年よりもスペースが25%増加しました。注目を集めたのは、自動運転車とインターネット接続に向けた取り組みです。昨年の夏のジープのハッキングでわかるように、インターネットに接続している車にセキュリティの懸念があるのは明らかです。自動車メーカーがプログラミング手法の保護に細心の注意を払うだけではなく、消費者も潜在的なセキュリティリスクを把握しておく必要があります。
自動車に搭載される機能が増えるにつれて、潜在的な標的の数も増え続けています。今年のCESでは、インターネットに接続された自動車のトレンドは、消えるどころか、さらに強くなっています。近い将来、ドライバーは、オイル交換と一緒に、自動車のセキュリティの点検を定期的に受ける必要があるかもしれないと理解しなければなりません。
ウェアラブル
私はウェアラブルテクノロジーの大ファンです。CESでは、ウェアラブル市場向けに興味深い製品が沢山ありました。ほとんどのウェアラブルは、健康とフィットネス情報の収集に注力している傾向があります。これは保護が必要な個人データですが、ウェアラブルに関する大きな脅威は、通常はマルチデバイスアーキテクチャの一部分であることです。フィットネストラッカーがスマートフォンに接続すると、次に、スマートフォンがアプリを実行して、追加機能を提供するクラウドサービスに接続します。サイバー犯罪者にとって大きな魅力となるのは、ウェアラブルの接続を利用して携帯端末にある詳細な情報をすべて入手できることです。大半のウェアラブルは、最初の起動時にペアリングによって携帯端末に接続します。これは、通常は1度だけ発生し、普通は「0000」のようなシンプルなデフォルトのパスワードを用います。これにより、サイバー犯罪者がフィットネストラッカーを装って、携帯端末にデータを送信可能な状況が作り出されます。いったん接続が確立されると、さらに悪意のあるコードを送信して携帯端末そのものをハッキングし、ハッカーがデバイスから貴重なデータを盗みやすくするために、さらにマルウェアをインストールする恐れがあります。
安全を確保する方法
CESには、未来のテクノロジーに関して、非常に興味深いテクノロジーが勢揃いしています。数カ月以内に店頭に並びそうなものもあれば、製品化までに数年かかるものもあります。そのなかで、クールな未来のガジェットを使用する場合、どうやって安全を確保すればいいのでしょうか。今からしっかりとしたセキュリティ習慣を身に付けることで、サイバー犯罪者を近寄らせないようにする可能性を高められます。
- 常にアップデートしましょう。これまで述べてきたように、機能が豊富な製品やテクノロジーではアップデートが必要です。消費者として、新しいガジェットにインストールが必要なパッチやアップデートがないか確認する習慣を身に付ける必要があります。
- 控えめにしましょう。共有するデータは控えめにしましょう。新しいユーザーアカウントにサインアップする際には、登録時に入力する情報に気を付けましょう。ほとんどのフォームは、必須情報に関する表示があるので、入力する情報を選別しましょう。
- パスワードを変更しましょう。新製品のセットアップのプロセスを進めるなかで、パスワードをデフォルトから変更可能かどうか確認しましょう。デフォルトのパスワードの大半は、Web検索から簡単に突き止められるので、できるだけ早くパスワードを変更してください。
- パスワードを繰り返し使用しないようにしましょう。数々のアカウントを日常的に利用しているほとんどの人々にとって、パスワードをすべて覚えておくことは非常に困難です。このため、ほとんどの人々は複数のアカウントで同じパスワードを再利用しがちです。これは、1つのアカウントのパスワードが漏えいすると、サイバー犯罪者がこのパスワードを利用して別のアカウントに侵入する可能性があるため、良くない習慣です。複数のパスワードの管理に、Intel Securityの提供するTrue Keyのようなアプリケーションツールを使用することを推奨します。
※本ページの内容は2016年1月14日更新のMcAfee Blog の抄訳です。
原文: Updated BlackEnergy Trojan Grows More Powerful
著者: Bruce Snell