コーヒーメーカーが身代金を要求。スマート家電のハッキング実験

2020年10月07日(水)20:30

スマート家電のハッキング実験image by:Dan Goodin | YouTube
　スマホやPCだけでなく、家電をはじめとするあらゆる物をインターネットに接続してしまおうというのが、いわゆる「モノのインターネット（IoT）」だ。

　ネットの膨大な情報を利用し、より高度な制御を目指すそのコンセプトはいかにも未来的で、素晴らしいものに思える。

　しかしそこには思わぬ罠が待ち受けている。

　あるエンジニアがWi-Fi接続のスマート家電である、コーヒーメーカーをハッキングする実験を行ったところ、操作権限を奪い、電子パネルに身代金メッセージを表示させることに成功したそうだ。
【スマート家電は安全なのか？コーヒーメーカーで実験】

　IoTに対応したスマート家電やデバイスのハッキングというと、インターネットや脆弱なルーターを経由したものを想像するかもしれない。しかし、それだけでなく、そもそもスマート家電自体が脆弱なのではないかと指摘する声があった。

　それを証明するべく、セキュリティ企業AVASTのマーティン・フロン氏は、2万5千円ほどで買えるSmarter社のスマートコーヒーメーカーをハッキングしてみることにした。その経緯について自身のブログで次のように説明されている。

IoTデバイスへの脅威は、脆弱なルーターやネットを介して侵入を許してしまうことだけでなく、機器それ自体にもあるのではないかという疑惑を証明しろと言われました。それは脆弱で、ネットワークやルーターに接続していなくてもすぐに支配されてしまいます。

【コーヒーメーカーが身代金を要求】

　1週間ほどコーヒーメーカーをいじくりまわすと、ついにハッキングに成功したという。

　それを家庭のインターネットに接続してしまうと、勝手にヒーターのスイッチが入り、ホットプレートの部分へびちゃびちゃとお湯をぶちまけるようになる。また豆を挽くグラインダーも止まらない。

　そしてピーピーというアラームとともに、元に戻したいなら身代金を払えというメッセージがディスプレイに表示される。

　こうなってしまったら、止める手段はコンセントを引っこ抜くしかない。

[動画を見る]
What a hacked coffee machine looks like.

【誰でも使えるよう操作を簡単にした結果、脆弱性が高まる】

　コーヒーメーカーのような家電は、誰にでも手軽に扱えなければダメだ。しかし、そうした手軽さがかえって危険を招くことになる。

　今回のコーヒーメーカーについて言えば、箱から出してスイッチを入れると、面倒な設定をしなくても、すぐにWi-Fiが起動してスマホアプリと通信を開始する。するとそのアプリがコーヒーメーカーの設定を自動で行い、家庭のWi-Fi回線に接続してくれる。

　だが、このときの通信は暗号化されおらず、認証も必要ない仕様だ。そのためアプリがコーヒーメーカーをどのように制御しているのか、知識のある人には筒抜けとなる。

[画像を見る]

　こうして制御方法を知ったフロン氏は、「IDA」というツールでコーヒーメーカー用アプリのファームウェアを解析。

　さらに本体を分解して、そこに搭載されているCPUを確認したうえで、そのアップデートプロセスを真似したプログラムを書き、ついにコーヒーメーカーを乗っ取ることに成功した。

[画像を見る]

　ちなみにフロン氏の最初の構想は、身代金の要求ではなく、仮想通貨のマイニングをさせることだったそうだ。

最初は、コーヒーメーカーで仮想通貨のマイニングができることを証明しようと思っていました。CPUとアーキテクチャを考えれば、間違いなくできるのですが、8MHzの速度では、ほとんど無視できるような金額にしかならないので意味がありません

【何もかもをインターネットにつないで大丈夫なのか？】

　今回の仕掛けが作動するためには、コーヒーメーカーがWi-Fiかルーターを使える範囲内にあることが条件であるそうだが、この実験が示唆することは深刻だ。

　ハッカーはその気になれば、こうした脆弱性がいつまでも残るよう、スマートデバイスが修正パッチを受信できないようにしてしまうこともできる。

　さらにスマートデバイスを利用して、同一ネットワーク内にある他の機器にまでこっそりとハッキングを仕掛けられるようになる。

　また家電のライフサイクルの長さも問題となる。コーヒーメーカーのような家電は10年、あるいは20年と、かなり長期にわたって使用されることがある。

　それだけの期間を、はたして製造者はきちんとサポートできるのだろうかと、フロン氏は疑問を投げかけている。

IoTが爆発的に普及する一方、そのサポートがお粗末なものであれば、脆弱なデバイスが大量に生み出されるということになります。

それを悪用すれば、ネットワーク侵入、データ漏洩、ランサム攻撃、DDoSといった不正を行えてしまいます。

　あらゆる物がインターネットに接続された未来。それは薔薇色の未来ではないかもしれない。

　ちなみに、Smarter社のコーヒーメーカーだが、2017年以降の製品は、より安全なサイバーセキュリティ規格「UL 2900-2-2」に準拠しているとのことだ。

References:decoded / arstechnica/ written by hiroching / edited by parumo

記事全文はこちら：コーヒーメーカーが身代金を要求。スマート家電のハッキング実験 http://karapaia.com/archives/52295322.html

編集部おすすめ