あなたの家は、すでに監視されているかもしれない
部屋の電気をスマホで消す。「アレクサ、音楽かけて」と声をかける。ルンバが勝手に動き出し、床を掃除してくれる。炊飯器に帰宅時間を送信して、ちょうどいい時間にご飯を炊いておく。
便利な時代になった、と思う。
だが、少し立ち止まって考えてほしい。
あなたの家の中で、いま何台のデバイスがインターネットに繋がっているか、正確に言えるだろうか?
スマートスピーカー、スマート電球、ロボット掃除機、スマートテレビ、Wi-Fi内蔵の炊飯器、ネットワークカメラ、スマートサーモスタット……。平均的な日本の家庭には、すでに10台以上の「スマート家電」が存在すると言われている。そしてそのほとんどが、購入された瞬間から、世界中のネットワークに向けて「ドア」を開き続けている。
このドアを、あなた以外の誰かが叩いているとしたら?
これはSFではない。現実に起きている、そしてこれからもっと深刻になっていく問題だ。
IoTという言葉の裏に隠れたもの
「IoT(Internet of Things)」——モノのインターネット——という言葉は、なんとなく明るい未来を連想させる。しかし、このコンセプトには構造的な欠陥が埋め込まれている。
従来のコンピュータ(パソコンやスマートフォン)は、セキュリティアップデートが頻繁に行われ、ウイルス対策ソフトを入れることができ、ユーザーがある程度管理できる仕組みになっていた。
ところがスマート家電は違う。
製造コストを抑えるため、搭載されるプロセッサやメモリは最小限だ。アップデート機能が存在しないものも多く、パスワードは出荷時のままで変更されることなく使われ続ける。セキュリティパッチが提供されたとしても、多くのユーザーはそもそもそのことを知らない。そして最大の問題は、これらのデバイスが「常時接続」であることだ。電源が入っている限り、24時間365日、ネットワークに繋がり続けている。
ハッカーにとって、これほど魅力的なターゲットはない。
OSINTで丸見えになるあなたの家
ここで少し視点を変えて、攻撃者の立場から考えてみよう。
OSINT(Open Source Intelligence)とは、公開されている情報源から情報を収集・分析する技術のことだ。軍事・諜報機関が使う手法だが、現在では一般のセキュリティ研究者も使用しており、インターネット上の「見える化」されたリスクを調査するために広く活用されている。
その中でも、IoTセキュリティを語るうえで絶対に外せないツールが「Shodan」だ。
Shodanは「インターネットに接続されたあらゆるデバイスを検索できる」検索エンジンだ。Googleがウェブページをインデックスするように、Shodanはインターネット上のIPアドレスをスキャンし、そこに繋がっているデバイスの情報を収集する。カメラ、ルーター、産業用機器、医療機器、そしてもちろん、スマート家電も。
Shodanで「default password」と検索してみると、デフォルトパスワードのまま放置された無数のデバイスが表示される。中にはログイン不要でアクセスできる監視カメラの映像が、そのままインターネット上に公開されているケースもある。日本国内の一般家庭のカメラ映像が、世界中の誰でも見られる状態になっていることがある——これは、決して誇張ではない。
さらに「Censys」「ZoomEye」といったツールも、Shodanと同様の機能を持つ。これらを使えば、特定のメーカーのルーターを使っているデバイスを一覧表示したり、特定のポートが開放されているデバイスをリストアップしたりすることが、技術的な知識がなくてもできてしまう。
攻撃者はこれらのツールで「獲物」を探す。
あなたのスマート家電のIPアドレスが、すでにこれらのデータベースに登録されている可能性は十分にある。
ルンバが間取り図を盗んでいた? 現実のスパイ工作
2017年、衝撃的なニュースが流れた。ルンバの製造元であるiRobotのCEOが「将来的に、ルンバが収集した家の間取りデータをApple、Google、Amazonと共有することを検討している」と発言したのだ。
もちろんこれは「ビジネス目的」の話だったし、その後iRobotは方針を撤回した。しかし、この発言が明らかにした事実は重要だ。ルンバはすでに、あなたの家の間取り図を作成している。
ロボット掃除機は、LiDAR(レーザーセンサー)やカメラを使って部屋をマッピングし、効率的な清掃ルートを計算する。この過程で生成される「間取りデータ」は、家具の配置、部屋の広さ、動線、さらには「どの部屋に人がよくいるか」という生活パターンまで含む可能性がある。
もしこのデータが外部に漏れたら、あるいはハッキングによって盗まれたら、何が起きるか。
泥棒にとっては、下見不要の「完璧な設計図」になる。どこに貴重品があるか、どこに人がいるか、いつ家が空くか——そのすべてが、データから読み取れる可能性がある。
2023年には実際に、iRobotのサーバーから、ユーザーがトイレを使用している様子を撮影した画像が流出し、それがAIの訓練データとして使われていたことが報道された。ロボット掃除機の「目」は、私たちが思っている以上に多くのものを見ている。
※トイレの件ですが、「開発用(テスト用)」の機体によるものです。一般販売されている製品が勝手に撮影して送信したわけではなく、データ収集に同意した有料モニターや従業員が使用していた特殊な機体から、アノテーション(データラベル付け)を委託されていた海外の作業員がSNSに投稿したのが原因です。
スマート電球が「スパイ」になる日
「電球がスパイ? そんなバカな」と思うかもしれない。
しかし2020年、セキュリティ研究者たちが示した攻撃手法は、これが絵空事でないことを証明した。
Philips Hueのスマート電球に脆弱性(CVE-2020-6007)が発見され、攻撃者が電球のファームウェアを書き換えることで、家庭内ネットワークに侵入できることが明らかになった。電球を乗っ取った攻撃者は、そこを踏み台にして同じネットワーク上のパソコンやスマートフォンに侵入できる。
もっとSFじみた話もある。
「Li-Fi」という技術は、光の点滅を使ってデータ通信を行う。肉眼では識別できない速度で光を点滅させることで、情報を送受信する技術だ。もし悪意を持ったファームウェアがスマート電球にインストールされた場合、理論上は光の点滅パターンを変調させて、室内の情報を外部に送信する「光学的なサイドチャネル攻撃」が可能になる。
さらに、スマートスピーカーやスマートテレビに内蔵されたマイクを通じた盗聴は、より直接的なリスクだ。
2019年、Amazonの従業員がアレクサの音声データを聞いていたことが報道された。これは品質向上を目的とした公式のプログラムだったが、ユーザーの多くはその事実を知らなかった。また、SamsungのスマートTVの利用規約には「周囲の会話が第三者と共有される可能性がある」という記述があり、物議を醸した。
「常時マイクオン」のデバイスが家の中にある——この事実の意味を、改めて考える必要がある。
Miraiが世界を止めた日:スマート家電が武器になる
2016年10月21日、米国東海岸のインターネットが麻痺した。
Twitter、Netflix、Reddit、Spotify、CNN——数十の大手サービスが、軒並みアクセス不能になった。原因は、DNS(インターネットの電話帳のような役割を担うシステム)プロバイダであるDynへの大規模なDDoS攻撃だった。
この攻撃に使われた「兵器」が、Mirai(ミライ)ボットネットだ。
Miraiは、デフォルトパスワードのまま使われているスマートカメラ、ルーター、DVRレコーダーなどを自動的に感染させ、巨大な「ゾンビ軍団」を作り上げるマルウェアだ。感染したデバイスは持ち主の知らないうちに攻撃に加担し、標的のサーバーに向けて膨大な量のトラフィックを送り続ける。
Miraiが示した事実は衝撃的だった。家庭のスマートカメラや録画機が、世界規模のサイバー攻撃の武器になった。
感染したデバイスの所有者は、何も知らない。自分のカメラがMiraiに感染し、Twitterのサーバーに攻撃を仕掛けていたとしても、カメラは普通に動いているし、映像も普通に録れている。ただ、裏側でひっそりと、犯罪に加担しているだけだ。
Miraiのソースコードはその後インターネット上に公開され、無数の亜種が生まれた。現在も「Mirai亜種」による攻撃は世界中で続いており、その「兵器」として使われているのは、今この瞬間もどこかの家庭で動いているスマート家電かもしれない。
マイクロウェーブでWi-Fiを盗む:物理層攻撃の恐怖
スマート家電のリスクは、ソフトウェアの脆弱性だけではない。物理的な現象そのものが攻撃手段になるケースがある。
「パワーアナリシス攻撃」という手法がある。デバイスが動作するとき、その処理内容によって消費電力がわずかに変動する。この変動パターンを精密に計測・分析することで、デバイスが処理している暗号鍵や個人情報を推測する攻撃手法だ。
一見SF的に聞こえるが、2014年にはスマートカードへの実用的な攻撃が実証されており、IoTデバイスへの応用研究も進んでいる。
さらに奇妙な話がある。電子レンジとWi-Fiは、同じ2.4GHz帯の電波を使う。電子レンジの動作中にWi-Fiの通信が乱れる経験をした人は多いはずだ。これはノイズとして無視されがちだが、研究者たちは「電磁波サイドチャネル攻撃」の可能性を研究している。
また、スピーカーやマイクへの「超音波攻撃」も実証されている。人間には聞こえない周波数の音波をスマートスピーカーに向けて発射することで、音声コマンドを認識させる攻撃だ(「ドルフィンアタック」とも呼ばれる)。「アレクサ、玄関の鍵を開けて」というコマンドを、人間には聞こえない超音波で送信する——理論上、これは可能だ。
ただし、超音波でコマンドを送るには、攻撃者がデバイスの物理的にかなり近い場所(数メートル以内)にスピーカーを設置する必要があります。インターネット経由で遠隔から行う攻撃ではなく、近接侵入が必要な攻撃手法である。
サプライチェーン汚染:工場の時点で仕掛けられた罠
より根深いリスクが、サプライチェーン攻撃だ。
2018年、Bloombergが衝撃的な報道を行った。中国のサーバーメーカーの製品に、製造段階でマイクロチップが埋め込まれており、Apple、Amazon、米国政府機関のサーバーに納入されていたというものだ。(この報道については当事者企業が否定しており、真偽については現在も議論がある)
しかし、サプライチェーン攻撃そのものは、実証された現実のリスクだ。
スマート家電の多くは、中国を含む複数の国のサプライヤーから部品を調達し、製造されている。デバイスが工場を出る前に、悪意のあるコードや回路が組み込まれていたとしたら、ユーザーには検出する方法がほぼない。
NSA(米国国家安全保障局)のリーク文書には、出荷前のルーターにバックドアを仕掛けていたことを示す記述が含まれていた(これはEdward Snowdenによってリークされた資料に基づく)。国家レベルの機関が実施するサプライチェーン汚染は、民間企業や個人がどれだけ注意しても防ぎようがない。
OSINTで自分の家を守る:攻撃者の目で見るセルフチェック
ここまで読んで、「では自分はどうすればいいのか」と感じた人のために、OSINTの考え方を使った自衛策を紹介しよう。
Step 1:自分の家のデバイスを「棚卸し」する
まず、家の中のネットワーク接続デバイスをすべてリストアップする。スマートフォンやパソコンだけでなく、スマートテレビ、ゲーム機、スマートスピーカー、防犯カメラ、ルーターまで。ルーターの管理画面(通常は192.168.1.1や192.168.0.1にアクセスする)にログインすると、現在接続されているデバイスの一覧が見られる場合が多い。
知らないデバイスが繋がっていたら、要注意だ。
Step 2:自分のデバイスがShodanに載っていないか確認する
自宅のグローバルIPアドレス(「自分のIPアドレス」などで検索するとすぐ分かる)をShodanで検索してみる。自分の家のルーターやカメラが検索結果に表示された場合、外部からアクセス可能な状態になっている可能性がある。
Step 3:デフォルトパスワードを変更する
すべてのデバイスのパスワードを変更する。「admin/admin」「admin/password」のままになっているデバイスがあれば、今すぐ変更する。これだけで、Miraiのような自動化された攻撃の大半を防ぐことができる。
Step 4:ネットワークを分離する
VLANまたはゲストポートの活用: 多くの市販ルーターにある「ゲストポート」機能を使うのが最も簡単です。メインのWi-Fi(PCやスマホ用)とゲスト用(IoT用)で通信を分離(隔離)することで、万が一電球が乗っ取られても、PCの中身を見られるリスクを劇的に下げられます。
Step 5:使わない機能はオフにする
リモートアクセス機能、UPnP(自動ポート開放)、Bluetooth——使わない機能は無効化する。「便利そうだからオンにした」機能の多くが、攻撃の入り口になっている。
Step 6:ファームウェアを更新し続ける
面倒でも、定期的にファームウェアのアップデートを確認する。サポートが終了したデバイスは、思い切って買い替えるか、ネットワークから切り離すことを検討する。
企業と国家の視点:IoTセキュリティは誰が守るべきか
個人の努力だけでこの問題が解決できないことは、構造的に明らかだ。
EU(欧州連合)は2022年に「サイバーレジリエンス法(Cyber Resilience Act)」を提案し、EU市場で販売されるすべてのデジタル製品にセキュリティ基準の遵守を義務付けようとしている。デバイスの販売後も一定期間のセキュリティアップデートを義務付け、違反した場合は高額の罰則を科す内容だ。
米国でも、NIST(米国国立標準技術研究所)がIoTデバイスのセキュリティ基準を策定し、連邦政府調達においてはこれらの基準への準拠を求めている。
日本では、総務省がIoT機器のセキュリティ対策を啓発しており、NICT(情報通信研究機構)が「NOTICE(National Operation Towards IoT Clean Environment)」プロジェクトを通じて、脆弱なIoT機器を持つユーザーへの通知活動を行っている。
横浜国立大学提供 IOT感染チェック https://amii.ynu.codes
しかし、これらの取り組みはまだ十分ではない。市場には無数の低価格デバイスが流通しており、セキュリティよりも価格を優先する消費者心理と、コスト削減を求めるメーカーの論理が、構造的な脆弱性を生み続けている。
「便利さ」と「安全」の間で:私たちはどう選択するか
スマート家電を全部捨てろ、と言いたいわけではない。
利便性は本物だ。スマートスピーカーで照明を操作する快適さ、ロボット掃除機が掃除してくれる間に別のことができる自由、遠隔で家電を操作できる安心感——これらは本物の価値を持っている。
しかし、その「便利さ」には代償がある。私たちは、意図せずして自分の家の中に「トロイの木馬」を招き入れているかもしれない。スマート電球、炊飯器、掃除機——これらは単なる家電ではなく、インターネットに繋がった「コンピュータ」であり、コンピュータである以上、ハッキングされうる。
最も恐ろしいのは、攻撃が成功しても、ほとんどの場合ユーザーは気づかないことだ。電球は光り続け、炊飯器はご飯を炊き続け、ルンバは床を掃除し続ける。ただ、その傍らで、誰かがあなたの家の情報を収集し、あなたの会話を盗み聞きし、あなたのデバイスを攻撃の踏み台として使っているかもしれない。
あなたの家は要塞ではなく、ガラス張りの建物になっているかもしれない。
それを知った上で、どう選択するか。スマート家電を使い続けるなら、適切なセキュリティ対策を取る。リスクが許容できないなら、スマート機能を使わない選択もある。大切なのは、「便利だから」という理由だけで、リスクを見ないふりをしないことだ。
ルンバが部屋の間取り図を作っているとき、その地図がどこに送られているか——一度、気にしてみてほしい。
この記事は、セキュリティリスクへの啓発を目的として書かれています。紹介したOSINTツール(Shodan等)は、自分が管理するシステムの調査にのみ使用し、他者のシステムへの無断アクセスは不正アクセス禁止法により処罰される違法行為です。
コメント