スマートホームセキュリティ：セキュリティと脆弱性

これは、IoTを実現する技術について説明した5部構成の記事の1つを要約したものです。記事の全文は、wevolver.comでご覧いただけます。

スマートホームの脆弱性

世界中にあるスマートホームは、来年までに4億7820万戸に増加すると予想されています（1）。スマートホーム技術の最も大きな魅力の1つは、インターネットに接続されたデバイスを使用して、個人の住居をリモートから保護できることです。スマートホームセキュリティデバイスは、盗難、破損、事故から家を保護できる一方で、個人データのセキュリティを低下させるリスクもあります。

2021年の研究プロジェクトでは、標準的なスマートホームが、多くのデータ攻撃に対して脆弱であることが明らかになりました（2）。報告されたスマートホームへの攻撃事例では、ハッカーがスマートライトやスマートテレビをリモートから制御したり（3）、IoT対応のドアを解錠したり、あるいはスマートカメラの電源をリモートからオンにして部屋をビデオ撮影してストリーミングしたりしています（4）。たとえば、ミルウォーキーのある家では、エアコンの温度が30℃以上に設定されていたため、目が覚め、攻撃されたことに初めて気づきました（5）。

このような攻撃を受けやすくなるのは、コネクテッドホームに脆弱なローカルネットワークと脆弱なIoTデバイスという2大欠陥がある場合です。

脆弱なローカルネットワーク

Wi-Fiは、デフォルトの、または脆弱なSSIDやパスワード、および脆弱な暗号化プロトコルが原因で、攻撃を受けやすくなります。認証情報がデフォルトのままでは、侵入者がルータに簡単にアクセスできてしまいます。強力なWi-Fiパスワードを設定すると、ハッカーはネットワークに侵入するためにより困難なゲートウェイを探すことを余儀なくされます。

ハッカーがネットワークに侵入する最も一般的な方法は、スニッフィングと暗号解読です。スニッフィングでは、ハッカーはデバイスとルータの間で送信されたデータのパケットを乗っ取り、自分のデバイスに転送して総当たりで解読します。この解読は通常、ほんの数分で完了します。

ほとんどのWi-Fiルータは、WEP（Wired Equivalent Privacy）、WPA（Wi-Fi Protected Access）、またはWPA2セキュリティプロトコルを採用しています。WEPでは、RC4ストリーム暗号を使用します。WEPの弱点は、24ビットの初期化ベクトル（IV）のサイズが小さいため、再利用されてしまうことです。この再利用が脆弱性につながります。

より安全な選択肢はWPAとWPA2ですが、研究者たちは深刻な欠陥を発見しました。すなわち、WPAに対するKey Reinstallation Attack（キー再インストール攻撃）の略であるKRACKに脆弱な欠陥です。中間者攻撃ではKRACKを仕掛けることで、WPAで暗号化されたWi-Fi接続を介して送信された機密データを盗み出すことができます。攻撃者はトラフィックを盗聴することで、パスワード、銀行口座情報、クレジットカード情報などを入手できます。

脆弱なIoTデバイス

研究者たちは、一般的に使用されているさまざまなブランドのスマートホームデバイス16台をテストし、ユーザーをハッカーの攻撃にさらす54個の脆弱性を発見しました。考えられる攻撃は、セキュリティシステムの無効化から個人データの窃盗まで、多岐にわたります（6）。およそ80%のIoTデバイスが、さまざまな攻撃に対して脆弱なのです。（7）。

スマートホームデバイスは特殊目的用デバイスであるため、攻撃を受けやすくなります。各IoTベンダーは、必要とされる特殊目的用セキュリティソリューションを提供できていません。さらに、スマートホームデバイスには、INTEGRITY、Contiki、FreeRTOS、VxWorksなどの小型オペレーティングシステムが搭載されていることが多く、これらに対するセキュリティソリューションはWindowsやLinuxベースのシステムほど堅牢ではありません。一般に販売されているほとんどのデバイスは、一度展開されると、進化するサイバー攻撃に対するセキュリティ機能を更新するためにアップグレードすることができません。

スマートホームデバイスへの一般的な攻撃

スマートホームデバイスへの攻撃は、デバイスや通信プロトコルに応じた、さまざまな方法で行われます。一般的な攻撃方法は、以下の通りです。

• データ侵害と個人情報窃盗

• デバイスの乗っ取りとなりすまし

• 分散型サービス拒否（DDoS）

• フラッシング

スマートホームデバイス購入後の保護

セキュリティ機能が組み込まれているデバイスもありますが、一般的に、スマートホームデバイスを攻撃から保護するためには、所有者がいくつかの基本的な保護対策を実施する必要があります。

• 強力なパスワード

• ゲストネットワーク

• 2要素認証

• ファームウェアの更新

• クラウドの使用回避とローカルストレージの使用

• 最高レベルの暗号化

• ファイアウォール

IoTデバイス開発者の役割：

IoTデバイスセキュリティの責任は、主にIoTデバイス開発者にあります。デバイスを安全な状態にするために、必要な対策を取らなければなりません。対策としては、以下のようなものが考えられます。

• IoTデバイス内にプログラム可能なハードウェアルートオブトラスト（HRoT）を組み込むこと。HRoTは、電子機器、特にシステムオンチップ（SoC）を安全に運用するための基盤となります。暗号機能に使用される鍵が含まれており、安全なブートプロセスを実現します。プログラム可能なHRoTを継続的に更新することで、増え続けるさまざまな脅威に対処することができます。まったく新しい暗号アルゴリズムを実行し、アプリケーションを保護することで、進化する攻撃に対応します。

• エッジコンピューティングの導入：データソースに近いエッジにあるデバイスから収集したデータを処理します。データは脆弱なネットワークを経由してリモートサーバに転送されることがないため、データ侵害のリスクが軽減されます。

• オーバーザエアアップデート機能の設計：効率的なオーバーザエア（OTA）アップデート機能を備えたデバイスを製造します。多くの消費者はデバイスを遠隔地に配置しているため、更新が不定期になります。開発者は、効率的かつ定期的に実行できる堅牢なOTAアップデート戦略を組み込む必要があるのです。

まとめ

インターネットに接続されているデバイスは元々、攻撃に対して脆弱です。スマートホームデバイスが高機能化し、家庭内に広く設置されるようになると、個人データのセキュリティリスクを理解し、それをどのように軽減するかが重要になります。また、IoT技術者は、将来のスマートホームにアドオンではなくコア機能としてセキュリティが組み込まれていることを保証する責任を負わなければなりません。

この記事の全文は、wevolver.comでご覧いただけます。

リファレンス

1.[オンライン]。出典： https://www.statista.com/forecasts/887613/number-of-smart-homes-in-the-smart-home-market-in-the-world。

2.Laughlin A。which.co.uk。[オンライン]。2021年。出典：https://www.which.co.uk/news/2021/07/how-the-smart-home-could-be-at-risk-from-hackers/。

3.Whitney L。pcmag.com。[オンライン]。2020年。出典：https://www.pcmag.com/how-to/how-to-stop-smart-tvs-from-snooping-on-you。

4.Vigdor N。New York Times。[オンライン]。2019年。出典：https://www.nytimes.com/2019/12/15/us/Hacked-ring-home-security-cameras.html。

5.Sears A。FOX6 NEWS。[オンライン]。2019年。出典：https://www.fox6now.com/news/felt-so-violated-milwaukee-couple-warns-hackers-are-outsmarting-smart-homes。

6.Broom D。weforum.org。[オンライン]。2021年。出典：https://www.weforum.org/agenda/2021/11/how-to-secure-smart-home-devices/。

7.Press R。rambus.com。[オンライン]。2020年。出典：https://www.rambus.com/iot/smart-home/。