冷蔵庫からスパムメール？

1月16日、米インターネットセキュリティ企業プルーフポイントの発表したレポートがセキュリティ業界に一騒動起こした。同社によれば、昨年12月23日から1月6日までの間、テレビや冷蔵庫などの「スマート家電」に埋め込まれたマルウェア（不正プログラム）から75万通以上のスパムメールが送信された形跡があったという。インターネットに接続された機器がマルウェアに感染し、持ち主の知らぬ間に乗っ取られて、サイバー攻撃に使われることを「ボット化される（遠隔操作されるロボットの意）」というが、スマート家電がその対象として確認された初めての大規模な事例だったこともあり、大きな注目を集めた。

それに対し、セキュリティ大手の米シマンテックが「冷蔵庫によるスパム送信は誤報」とすぐさま反論。スマート家電がスパムを送信しているのではなく、感染したパソコンと同じネットワーク上にあったため、テレビや冷蔵庫から送信しているように見えたのではないかと主張した。執筆時点では、プルーフポイントに更なるリアクションがないため真相は分からないが、今回の騒動がIoTのセキュリティ・リスクに対する関心を高めたことだけは間違いない。

では、IoTのどこに脅威が潜んでいるのか。あるサイバーセキュリティの専門家は「最近のスマート家電に使われているシステムには、脆弱性が残ったままになっているものも少なくない」と危惧する。

従来、家電製品には組み込みシステム用のOS（オペレーティング・システム）として進化してきた「VxWorks」や「ITRON」といったものが使われてきた。しかし、家電に複雑な処理を必要とする操作画面が搭載され、ネットワークに繋がれるようになってくると、マイクロソフトの「Windows」やオープンソースの「Linux」といったパソコンと同じ汎用OSが使われるようになってくる。家電にネットワーク接続やメール機能などが求められるなら、汎用OSをベースに開発したほうが効率的だからだ。

だが、従来OSに比べ、汎用OSの脆弱性を狙ったマルウェアの数は圧倒的に多く、使い回しもできるため蔓延しやすい。スマート家電が汎用OSを搭載することは、パソコンと同じセキュリティ・リスクに晒されるということでもあるのだ。そして、ここにもう一つの落とし穴が潜んでいる。

パソコンであれば、OSやセキュリティソフトのアップデートの必要性もようやく浸透してきた感がある。だが、スマート家電には、そもそも利用者が簡単にシステムをアップデートするような仕組みすらない場合も多い。出荷時に抱えた脆弱性が、放置されたままになりがちなのだ。つまり、パソコンと同様にネットワークに繋がれていながら、ほぼ無防備の状態と言える。

これは、オフィスに置いてある複合プリンターを思い浮かべれば分かるだろう。複合プリンターにも汎用OSが搭載されていることが多いが、それらを頻繁にアップデートしている会社がどれだけあるだろうか？　たまにメーカーのメンテナンス担当者が確認するのがせいぜいだろう。それゆえ、外部に公開（恐らくネットワークの設定を間違えているのだろう）されているプリンターが不正侵入を受ける事案が発生しているのだ。ちなみに、海外には、公開されたプリンターのIPアドレス一覧が載ったサイトがあるが、日本国内のIPも多く見つかる。

家電狙いのマルウェアも登場

今のところスマート家電がハッキングされ大事件になったとう話は出ていない。韓国サムスンのスマートテレビに、内蔵されているカメラを外部から操作される脆弱性があったことや、リクシルのトイレと連動するスマートフォン・アプリ「My SATIS」に脆弱性があり、外部から温水洗浄便座機能を操作できる（！）といったことが判明しているが、いずれも米国のセキュリティ企業が発見したもので、実害が出るまでには至っていないという。

だが、今回のレポートに反論しているシマンテックも、IoT分野で急速にセキュリティ・リスクが高まっていることは認めており、既にIoTデバイスをターゲットにした初のマルウェア「Linux.Darlloz」の存在を確認しているという。これは、近い将来にスマート家電を巡るセキュリティ問題が頻発する最初の兆候かもしれない。

「家電メーカーが製品のセキュリティ・チェックを専門の調査会社に依頼するケースは少ない」（前出のセキュリティ専門家）と言うように、メーカー側のIoTに対するセキュリティ意識はまだまだ低い。利便性に惹かれたはいいが、自宅の冷蔵庫がボット化しては、まったくスマートとは言えない。注意して使いたいところだ。