最新のIoTデバイスの欠点について知っておくべきこと


CES2020:2つのIoTデバイスに関する調査結果を公開

McAfee Advanced Threat Research (ATR) チームは先日、ネットワークに接続された人気のガレージドア自動開閉プラットフォームの脆弱性、およびドアの解錠に使用されるNFC(デバイスの相互通信が可能な近距離無線通信技術)スマートリングのセキュリティ設計上の問題を発見しました。次世代のコンシューマー向け技術を紹介する国際イベントCES 2020の開催に際し、これらの新たな脆弱性に目を向け、どうすればユーザーは安全で信頼性の高い接続をすることができるかを考えてみました。


1.Chamberlain IoTデバイスを確認

McAfee ATRチームは先日、Chamberlain(チェンバレン)社の「世界有数の」ガレージドア自動開閉システム「MyQ Hub」を調査しました。「MyQ Hub」は自動車に搭載されたスマートキーと同じように機能する新型のガレージドアオープナーです。しかし、McAfee ATRチームは、この「MyQ Hub」が無線周波数信号を介して通信する方法に本質的な欠陥があることを発見しました。ガレージを遠隔操作で閉じている間に、ハッカーが無線周波数信号を「妨害」できることが判明したのです。その仕組みは次のとおりです。ハブ受信機に送信されたコード信号が妨害あるいは遮断されることにより、遠隔センサーは施錠の信号に全く反応しなくなります。その結果、ユーザーにはアプリからドアを再度閉じるよう促すエラーメッセージが表示されますが、実際には、この操作によりガレージドアは開いてしまいます。

Chamberlain IoTデバイスをハッキングする手口

詳しく見てみましょう。

  • 多くのユーザーは、宅配便を便利に受け取るために「MyQ Hub」を利用しています。ポーチ・パイレーツ(置き配泥棒)から荷物を守り、配送業者がガレージ内に直接配達できるようにするためです。
  • しかし、遠隔操作のガレージドアオープナーを利用した荷物の配達を攻撃者が待ち構えている可能性があります。ハッカーが、配送業者がガレージドアを開けた際にMyQ信号を妨害し、ユーザーにエラーメッセージを表示させる可能性があるのです。その結果、ユーザーがドアを閉めようとすると、ドアが開き、攻撃者が自宅へ侵入するのを許してしまうことになるのです。
  • 攻撃者は、家主が物理的に敷地から離れるまで待機してMyQ 信号を妨害し、エラーメッセージを表示することも可能です。これにより、自宅への侵入の可能性はさらに高まります。

2.McLear NFC対応 スマートリングを確認

また、McAfee ATRチームは、NFC対応ドアロックと連動する家庭用アクセス制御デバイス「McLear(マクレア)スマートリング」についても、設計に安全性の問題があることを発見しました。スマートリングがNFC対応のドアロックとペアリングされると、従来の鍵を使用する代わりにドアロックのNFC端末にスマートリングをかざすだけで、自宅に入ることができます。しかし、設計の安全性に問題があるため、ハッカーが簡単にリングを複製し、ユーザーの自宅に侵入する可能性があるのです。

NFCリングをハッキングする手口

  • まず最初に、新しいスマートリングを使うことに心躍らせるユーザーの投稿をソーシャルメディアで見つけるなどして、被害者に関する基本的な情報を入手します。
  • そして、たとえば公共の場で被害者を探し出し、攻撃者の携帯電話で写真を撮らせて欲しいと頼むのです。NFCタグを読み取るアプリを搭載した攻撃者の携帯電話は、不正行為を一切見せることなく、関連情報を記録することができます。
  • その結果、リングは不正アクセスされ、一般的な書き込み可能なカード上で情報がプログラミングできるようになり、リングと連携するスマートホームの鍵の解錠に使用できます。

IoTデバイスをハッキングから保護する方法

IoTの時代において、セキュリティと利便性のバランスは、正しく行動するための重要な要素です。McAfee ATRチームの責任者であるSteve Povolnyは次のように述べています。「技術強化がもたらす数多くの恩恵は、刺激的でそのほとんどが極めて重要です。しかし、多くの人々は、ハッカーの行動範囲や新しい機能がシステムの安全性に与える様々な影響について無頓着です。」ネットワークに接続されたデバイスのメリットを享受しながらセキュリティを保護するには、次のヒントを参考にしてください。

・適切なオンラインセキュリティ習慣を実践

たとえセキュリティ上の懸念が生じたとしても、幸いにもユーザーには自由自在に使える多くのツールがあります。強力なパスワード対策を実行し、IoT デバイスを独自に配置し、ネットワークの分離を行い、可能な限り二段階認証を利用し、冗長システムを最小限に抑え、問題が見つかったら迅速に修正プログラムを適用しましょう。

・購入前にリサーチ

新しいデバイスを購入する前に、その製品のセキュリティ機能をチェックしましょう。購入する製品に関連するセキュリティリスクを認識することは重要です。

 

※本ページの内容は、2020年1月6日(US時間)更新のMcAfee Blogの抄訳です。
原文:What You Need to Know About the Latest IoT Device Flaws
著者: