スマート家電におけるセキュリティの正しい考え方：萩原栄幸の情報セキュリティ相談室（1/2 ページ）

冷蔵庫から情報漏えいしたり、スパムを発信されたりと、スマート家電の危険性が度々話題になるが、セキュリティをどう考えたらよいのだろうか――。

[萩原栄幸，ITmedia]

脆弱性を指摘されたスマート冷蔵庫

　8月25日付のITmediaの記事「Samsungの『スマート冷蔵庫』に脆弱性、他人にのぞき見される恐れ」について、一部の人たちから筆者に次のようなメールが届いた。

「この記事古くないですか？　たしか以前にも冷蔵庫が乗っ取られたという記事があちこちに……」

　せっかくなので、今回はスマート家電におけるセキュリティの考え方を深掘りしてみたい。

スマート冷蔵庫がスパム送信？

　2014年1月、「冷蔵庫がスパムを送信する」というニュースで多くのマスコミが騒いでいた。

• 「75万通のスパムメールは冷蔵庫・テレビ・家庭用ルータなどを利用していることが判明」――Gigazine
• 「テレビや冷蔵庫がスパムの踏み台に」――日経ITpro
• 「冷蔵庫が迷惑メールを発信？　モノのインターネット・IoTのセキュリティ不安が現実に」――ITmedia

　これらのニュースはセキュリティ会社Proofpointが発表した内容を原典にしている。ITmediaの記事では次のようにある。

Proofpointによると、2013年12月23日〜2014年1月6日にかけて、10万台位以上のコンシューマー機器から75万通以上の迷惑メールが発信された。ホームルータやマルチメディセンター、テレビといった機器、それに少なくとも冷蔵庫1台が不正侵入され、攻撃の踏み台として使われていたという。

　同社の発表が世界中に伝わったことで日本でもニュースになったようだ。少なくともこの時点では正当な報道であった。ところが、このニュースには続きがある。

　実はこの発表がProofpointの勇み足であり、「本当は違っていた」というレポートがSymantecから出された。Symantecによると、スパムを送信していたのは冷蔵庫と同じホームネットワーク内にあるマルウェアに感染したWindows PCであり、冷蔵庫は「無実」だった（関連リンク）

ただし同社は、IoTデバイスに感染するマルウェアを改めて発見したことを明らかにしている。

実際のネットワーク接続構成が左側だが、外からは冷蔵庫がスパム送信しているように見えた（Symantecより）

IoTデバイスのセキュリティ

　昔はインターネットテレビやDVDレコーダーなどがマルウェア感染の脅威になると騒がれ、実際にルータやデジタルカメラ、エンタテインメントシステムといったLinuxベースのIoTデバイスに感染する事態になった。筆者は昨年の記事を調査・分析し、今後はIoTデバイスの脆弱性が大きな脅威になると考えていた。つまりは上述の話題が起きた2014年がIOTデバイスにおける「マルウェア元年」だといっても差し支えないだろう。

　以前の記事「電子タバコがハッキング？　IoTの考えたくない未来」にも掲載したが、組み込みデバイスの専門家の話を咀嚼すると、IoTデバイスについては発注元メーカー（家電メーカーなど）のコスト削減を強く求めているにも関わらず、機能拡大（ユーザーにとっての利便性向上）の要求が強いので、開発を受注した企業ではセキュリティの十分なテストがおざなりになってしまい、結果として表面化しにくいセキュリティ強化の本格的対応が、中途半端な状況になっているかもしれないと危惧したのである。

　そして電子タバコやアイロンなどがサイバー攻撃の標的になり、セキュリティの専門家の間では冷蔵庫などその他のスマート家電についても「時間の問題だ」と認識されていた。よって筆者は、Samsungのスマート冷蔵庫に脆弱性が存在するというニュースを聞いても別に驚かなかった。

　スマート家電のセキュリティについては、どこのメーカーも恐らく“どんぐりの背くらべ”だろう。一部メーカーを除いてネットワークを介した脅威はまだそれほど問題化しておらず、現在ではまだほとんどの問題がIoTデバイス単体での脆弱性のレベルだと思う。