　自動車にドローン、電子投票システムの投票機、現金を引き出すATM、あるいはPOSシステム……米国で毎年開催されているハッキングカンファレンス「DEF CON」ではありとあらゆるモノが「ハック」の対象になってきました。今年8月に開催された「DEF CON 26」も同様に、クルマや制御システムなどさまざまな「モノ」のハッキングを競うコンテストが開催された他、警察官が装備するボディーカメラ、市販のスマートスピーカー、スマートウォッチなどの脆弱性を指摘するセッションも行われました。

802 SecureのCSO（情報セキュリティ最高責任者）を務めるマイク・ラゴ氏（右）と、Python Forensicsのチェット・ホスマー氏（左）

　このうち「Packet Hacking Village」で行われた「IoT Data Exfiltration」（意訳すれば「出血のように止まらないIoTからのデータ漏えい」）というセッションでは、セキュリティ製品を提供する802 Secureのマイク・ラゴCSO（情報セキュリティ最高責任者）と、Python Forensicsのチェット・ホスマー氏が、過去2年間、さまざまなIoTデバイスを調査してきた結果を紹介しました。

　両氏は「Apple Watch」、Andoridを搭載した「Moto 360」、Tizen OSを搭載したSamsungの「Galaxy Gear 2 Neo」、それにOkkuoの「U8 Nucleus」という4種類のスマートウォッチをテストしました。その結果、Galaxy Gear 2 Neoでは、リモートから権限昇格が可能な脆弱性が見つかりました。この問題はSamsung側に通知し、既に修正されているということです。

両氏らが4種類のスマートウォッチを検証したところ、いくつか問題が見つかった

　もっと深刻な問題があったのはU8 Nucleusで、中国のランダムなIPアドレスに対し、暗号化されたチャネル経由でデータが送信されていることが分かりました。このようにスマートウォッチや監視カメラの中には、本来IoT機器を簡単に接続するために作られたプロトコルを悪用し、一種の「隠しチャネル」を通じて、外国と何らかの通信を行っているものがあるといいます。

監視カメラというより「スパイカメラ」状態

　　　　　　 1|2|3 次のページへ