「スマート歯ブラシ300万本を乗っ取ってDDoS攻撃」海外メディアで誤報相次ぐ “IoTテロ”は現実に起こるのか？：この頃、セキュリティ界隈で

[鈴木聖子，ITmedia]

　スマート電動歯ブラシ300万本がマルウェアに感染してDDoS攻撃の踏み台にされ、企業のWebサイトをダウンさせた──メディア各社がこんな事件があったと報じたが、実は仮定の話にすぎなかったことが、後になって判明した。

「スマート歯ブラシ300万本を乗っ取ってDDoS攻撃」という誤報が相次ぐ

　報道によると「歯ブラシの攻撃」という見出しがついた元記事は、スイスのドイツ語ニュースサイト「Aargauer Zeitung」に掲載された。

　「女性は自宅の浴室にいた。だが彼女は大規模サイバー攻撃に関与していた。電動歯ブラシはJavaでプログラミングされていて、知らないうちにマルウェアをインストールされていた――他の300万本の歯ブラシと同様に。たった1つのコマンドで、遠隔操作された歯ブラシが、スイス企業のWebサイトに同時アクセスした。サイトはダウンして4時間にわたってまひ状態となった」

　これを見た英語メディアが次々に記事の内容を英訳して転載し、ネットでうわさが広がった。

　Aargauer Zeitungの記事は、サイバーセキュリティ企業の米Fortinetへの取材に基づいていた。事実関係の確認を求めたメディア各社の取材に対し、Fortinetはこうコメントしている。

　「歯ブラシがDDoS攻撃に利用されるというトピックは、特定種の攻撃を描くものとして取材の中で示された。Fortinetや研究機関『FortiGuard Labs』の研究に基づいてはいない。この話の翻訳が原因で拡大解釈され、仮説と現実が混同されたと思われる。FortiGuard Labsは、MiraiなどのIoTボットネットが歯ブラシのような組み込みデバイスを標的にした事例を確認していない」

　これに対してAargauer Zeitungは、歯ブラシDDoS攻撃は現実に起きたこととしてスイスのFortinet担当者から聞いた話だったと反論。「Fortinetはスイスの企業のWebサイトが攻撃でダウンした時間や、被害がどれほど大きかったかなど、具体的な詳細を明らかにした。記事は公開する前に、Fortinetに確認してもらった。これが現実に起きたことだという部分に異論はなかった」としている。

“IoTテロ”は現実に起こり得るのか？

　スマート家電やIoTデバイスを巡っては、以前からセキュリティ対策の甘さが指摘されていた。つながる家電がそうした脆弱性を突かれて実際に不正操作されたり、IoTデバイスに感染するマルウェア「Mirai」が大規模DDoS攻撃を引き起こしたりした事件は記憶に新しい。

　では、スマート歯ブラシがDDoS攻撃に利用される可能性は本当にあるのか。

スマート歯ブラシがDDoS攻撃に利用される可能性は本当にあるのか？

　調査報道メディア「404 Media」によると、Fortinetの研究者は2015〜2018年にかけ、つながる歯ブラシのハッキングに関するプレゼンテーションを行っていたという。歯ブラシはアプリとBluetooth接続経由で遠隔操作して、スイッチを入れたりモーター速度を上げたり停止させたりすることができたとされ、ブレゼン資料にはこの研究に使ったスマート歯ブラシの商品名も紹介されている。

　一方、サイバーセキュリティ研究者のマシュー・レマクルさんは「あり得ない」とXにポストした。「歯ブラシはBluetooth経由で電話とペアリングされ、電話がインターネットに接続している」「もしほんのわずかでもあり得るとすれば、歯ブラシアプリのサプライチェーン侵害やバックドアということになるだろう。電話はインターネットに接続できるが歯ブラシはできないからだ。だがその場合、歯ブラシボットネットではない。ありふれた電話ボットネットだ」

　結局のところ、不正確なニュースが拡散した責任の所在はあいまいなままだが、今回伝えられた電動歯ブラシの一斉攻撃が確認された事実でなかったことは分かった。競ってこの話題に飛びついたマスコミの問題について、ニュースサイト「Axios」はこう指摘している。「ニュースサイトの多くはクリック稼ぎに余念がない。サイバーセキュリティに関しては、記者や編集者がハッキングの仮説の最も恐ろしい部分に前のめりになる傾向がある」