「スマート歯ブラシ300万本を乗っ取ってDDoS攻撃」海外メディアで誤報相次ぐ “IoTテロ”は現実に起こるのか?:この頃、セキュリティ界隈で
IoT電動歯ブラシ300万本がマルウェアに感染してDDoS攻撃の踏み台にされ、企業のWebサイトをダウンさせた──メディア各社がこんな事件があったと報じたが、実は事実ではなかったことが判明した。実際にIoT歯ブラシがDDoS攻撃に利用される可能性はあるのか?
スマート電動歯ブラシ300万本がマルウェアに感染してDDoS攻撃の踏み台にされ、企業のWebサイトをダウンさせた──メディア各社がこんな事件があったと報じたが、実は仮定の話にすぎなかったことが、後になって判明した。
報道によると「歯ブラシの攻撃」という見出しがついた元記事は、スイスのドイツ語ニュースサイト「Aargauer Zeitung」に掲載された。
「女性は自宅の浴室にいた。だが彼女は大規模サイバー攻撃に関与していた。電動歯ブラシはJavaでプログラミングされていて、知らないうちにマルウェアをインストールされていた――他の300万本の歯ブラシと同様に。たった1つのコマンドで、遠隔操作された歯ブラシが、スイス企業のWebサイトに同時アクセスした。サイトはダウンして4時間にわたってまひ状態となった」
これを見た英語メディアが次々に記事の内容を英訳して転載し、ネットでうわさが広がった。
Aargauer Zeitungの記事は、サイバーセキュリティ企業の米Fortinetへの取材に基づいていた。事実関係の確認を求めたメディア各社の取材に対し、Fortinetはこうコメントしている。
「歯ブラシがDDoS攻撃に利用されるというトピックは、特定種の攻撃を描くものとして取材の中で示された。Fortinetや研究機関『FortiGuard Labs』の研究に基づいてはいない。この話の翻訳が原因で拡大解釈され、仮説と現実が混同されたと思われる。FortiGuard Labsは、MiraiなどのIoTボットネットが歯ブラシのような組み込みデバイスを標的にした事例を確認していない」
これに対してAargauer Zeitungは、歯ブラシDDoS攻撃は現実に起きたこととしてスイスのFortinet担当者から聞いた話だったと反論。「Fortinetはスイスの企業のWebサイトが攻撃でダウンした時間や、被害がどれほど大きかったかなど、具体的な詳細を明らかにした。記事は公開する前に、Fortinetに確認してもらった。これが現実に起きたことだという部分に異論はなかった」としている。
“IoTテロ”は現実に起こり得るのか?
スマート家電やIoTデバイスを巡っては、以前からセキュリティ対策の甘さが指摘されていた。つながる家電がそうした脆弱性を突かれて実際に不正操作されたり、IoTデバイスに感染するマルウェア「Mirai」が大規模DDoS攻撃を引き起こしたりした事件は記憶に新しい。
では、スマート歯ブラシがDDoS攻撃に利用される可能性は本当にあるのか。
調査報道メディア「404 Media」によると、Fortinetの研究者は2015〜2018年にかけ、つながる歯ブラシのハッキングに関するプレゼンテーションを行っていたという。歯ブラシはアプリとBluetooth接続経由で遠隔操作して、スイッチを入れたりモーター速度を上げたり停止させたりすることができたとされ、ブレゼン資料にはこの研究に使ったスマート歯ブラシの商品名も紹介されている。
一方、サイバーセキュリティ研究者のマシュー・レマクルさんは「あり得ない」とXにポストした。「歯ブラシはBluetooth経由で電話とペアリングされ、電話がインターネットに接続している」「もしほんのわずかでもあり得るとすれば、歯ブラシアプリのサプライチェーン侵害やバックドアということになるだろう。電話はインターネットに接続できるが歯ブラシはできないからだ。だがその場合、歯ブラシボットネットではない。ありふれた電話ボットネットだ」
結局のところ、不正確なニュースが拡散した責任の所在はあいまいなままだが、今回伝えられた電動歯ブラシの一斉攻撃が確認された事実でなかったことは分かった。競ってこの話題に飛びついたマスコミの問題について、ニュースサイト「Axios」はこう指摘している。「ニュースサイトの多くはクリック稼ぎに余念がない。サイバーセキュリティに関しては、記者や編集者がハッキングの仮説の最も恐ろしい部分に前のめりになる傾向がある」
関連記事
- ツイキャスにDDoS攻撃、1週間継続中 ライブ配信視聴しづらいなど障害
ツイキャスのサーバに大規模なDDoS攻撃が断続的に行われており、ライブ配信を視聴しづらくなるといったシステム障害が起きている。 - OpenAIにDDoS攻撃で断続的な停止(復旧済み)
OpenAIのChatGPTやAPIのサービスが11月8日正午ごろ(米国時間)から断続的に停止していた。既に復旧しているが、OpenAIはDDoS攻撃を受けていたと発表した。 - 「あの企業、実は情報漏えいしてますよ!」──ランサムウェア集団が自ら政府機関に“告げ口” 米国で新たな手口
ランサムウェアを操る集団が自分たちで攻撃を仕掛けて情報を流出させた企業について、被害に関する届け出を怠ったとして米証券取引委員会に“告げ口”する手口が確認された。こうした手口が発覚したのは初めてとみられる。 - サイバー攻撃からの復旧にかかった時間、「2日以上」が6割超 デル調査
サイバー攻撃を受けた組織は、復旧までにどれだけの時間を要するのか──デル・テクノロジーズが1月31日、こんな調査結果を発表した。 - 企業「ChatGPTは使っちゃダメ」→じゃあ自分のスマホで使おう──時代はBYODから「BYOAI」へ
会社はChatGPTを禁止しているが、自分のスマートフォンからChatGPT(しかも有料契約している高性能版)にアクセスして、使ってしまえば良いではないか――。生成AIのビジネス活用が進む中でBYODならぬ「BYOAI」という発想が生まれつつある。
Copyright © ITmedia, Inc. All Rights Reserved.