狙われるスマートスピーカー、音声コマンドと同時にバックドアが開く!?:IoTセキュリティ
マカフィーはが2019年の脅威動向予測について説明。6つの主な予測を基に、企業データ、家庭用IoT(モノのインターネット)デバイス、ブランドが攻撃対象となり、サイバー犯罪者は主にソーシャルメディア、クラウド、携帯電話を標的に攻撃を仕掛けてくるようになるとしている。
マカフィーは2018年12月11日、東京都内で会見を開き、2019年の脅威動向予測について説明した。6つの主な予測を基に、企業データ、家庭用IoT(モノのインターネット)デバイス、ブランドが攻撃対象となり、サイバー犯罪者は主にソーシャルメディア、クラウド、携帯電話を標的に攻撃を仕掛けてくるようになるとしている。
今回は、「サイバー犯罪組織のより強固な協力関係を通じた連携の継続」「将来の回避技術におけるAI(人工知能)のさらなる活用」「複数の攻撃手法の組み合わせに対応するためのより洗練された防御策の必要性」「サイバー犯罪者によるソーシャルメディアを使った情報操作や強請(きょうせい)の対象が国家から企業へ」「クラウド上のデータをターゲットにした攻撃のさらなる増加」「音声認識機能を活用したIoTデバイスへの攻撃が次なる標的に」の6つが主な予測となっている。
これらの中でもIoT関連で注目すべきなのは「音声認識機能を活用したIoTデバイスへの攻撃が次なる標的に」だろう。アマゾン(Amazon)やグーグル(Google)のスマートスピーカーを代表として、家庭内には音声認識機能を活用したさまざまなデバイスが用いられつつある。スマートフォン、タブレット端末、そして家庭内ネットワークを制御するルーターは既にサイバー犯罪者の攻撃対象になっているが、そこにスマートスピーカーも加わるという予測だ。
新しいタイプのマルウェアが、スマートフォンやタブレット端末、ルーターを介して、家庭内のさまざまな機器の制御が可能なスマートスピーカーに感染する。そして、感染したスマートスピーカーがbotネットを提供してDDoS攻撃を仕掛けることにより、サイバー犯罪者が個人データを盗み出す可能性もある。また、スマートスピーカーを操作するために普段から使用している一般的な音声コマンドをトリガーにして、バックドアを開けたり、制御サーバに接続したりすることも可能になる。「音声コマンドのトラフィックに紛れてこれらの不正な制御が行われると、その動作の検出が難しくなる」(マカフィー セールスエンジニアリング本部 本部長の櫻井秀光氏)という。
もちろん、スマートスピーカーだけでなく、今後さまざまなIoTデバイスが家庭内で増えていくことは、サイバー犯罪者にとって格好の攻撃材料になり得る。サイバー攻撃の入り口になるであろうスマートフォンやタブレット端末、ルーターのセキュリティ対策が、より重要になるといえそうだ。
会見ではこの他にも、国内でビジネスパーソン向けに実施した「2018年のセキュリティ事件に関する意識調査」を基にランク付けした「2018年の10大セキュリティ事件」も発表している。
| 順位 | セキュリティ事件(時期) | 認知度(%) |
|---|---|---|
| 1 | コインチェック 秘密鍵を流出し、580億円相当の仮想通貨「NEM」が流出(2018年1月) | 48.7 |
| 2 | 佐川急便をかたるフィッシングメール。不正アプリをダウンロードすると個人情報を盗まれ、さらなる犯行の発信元として悪用される(2018年7月〜) | 38.1 |
| 3 | 海賊版サイト「漫画村」が社会問題に 一部では、利用者のデバイスを仮想通貨マイニングに利用(2018年1月) | 33.5 |
| 4 | アダルトサイトの閲覧を周囲に暴露すると脅して、仮想通貨の支払いを要求する「性的脅迫(セクストーション)」の手口を使った詐欺メールが出回る(2018年10月) | 30.6 |
| 5 | 「アラート:あなたのアカウントは閉鎖されます。」という件名でAmazonの偽サイトへ誘導する、Appleをかたるフィッシングメールが出回る(2018年6月) | 30.5 |
| 6 | Facebookでインシデント相次ぐ 機能テスト中のバグで1400万人が意図せず投稿を「全員に公開」(6月)、2,900万人分の個人情報が流出(9月〜10月) | 28.9 |
| 7 | ルーターへのサイバー攻撃が相次ぎ、PCやスマートフォンでネットが使えなくなる不具合が多発 NTT、ロジテック、バッファローの機種で被害を確認(2018年3月〜4月) | 25.6 |
| 8 | JALがビジネスメール詐欺(BEC=Business E-mail Compromise)により、偽の請求書メールにだまされ約3億8000万円の被害に(2017年12月) | 25.4 |
| 9 | Twitter偽アカウントを一斉削除 対象は数千万件規模に上るとみられ、一部利用者のアカウントからは急激にフォロワー数が減る可能性が(2018年7月) | 24.2 |
| 10 | 「重要 : 必ずお読みください」というタイトルでフィッシングサイトへ誘導する、セゾンNetアンサーをかたるフィッシングメールが出回る(2018年3月) | 23.0 |
| 表 マカフィーが発表した「2018年の10大セキュリティ事件」 | ||
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
IoTデバイスが抱えるセキュリティリスクをひもとく
あらゆるモノがインターネットにつながるIoTがサイバー攻撃者にとっての新たな標的になりつつあります。本連載では、セキュリティを意識したIoTデバイス設計の勘所を解説します。第2回は、エッジ層におけるIoTデバイスのセキュリティに注目し、その特性を踏まえたセキュリティ上の課題と対策の方向性を考察します。
サイバー空間の脅威の変遷とその対策からIoTセキュリティを学ぶ
あらゆるモノがインターネットにつながるIoTがサイバー攻撃者にとっての新たな標的になりつつあります。本連載では、セキュリティを意識したIoTデバイス設計の勘所を解説します。第1回では、サイバー空間の脅威の変遷とその対策から、IoTセキュリティがどういうものかを考えます。
IoTデバイスのセキュリティに不可欠な要素とは
あらゆるモノがインターネットにつながるIoTがサイバー攻撃者にとっての新たな標的になりつつあります。本連載では、セキュリティを意識したIoTデバイス設計の勘所を解説します。第3回は、市場に出荷されてからその役割を終えるまで一連のライフサイクルで、IoTデバイスを適切に保護し続けるためのセキュリティ設計のポイントを解説します。
IoT時代の安心・安全に組織面の対応が重要となる理由
製造業がIoT(モノのインターネット)を活用していく上で課題となっているのが、サイバーセキュリティをはじめとする安心・安全の確保だ。本連載では、安心・安全を確立するための基礎となる「IoT時代の安全組織論」について解説する。第1回は、技術面以上に、なぜ組織面での対応が重要となるのかについて説明する。
ITとOTの組織連携はどうすれば進められるのか
製造業がIoTを活用していく上で課題となっているのが、サイバーセキュリティをはじめとする安心・安全の確保だ。本連載では、安心・安全を確立するための基礎となる「IoT時代の安全組織論」について解説する。第2回は、製造業にとって重要なIT(情報システム)とOT(制御システム)の組織連携の進め方について説明する。
WannaCary騒動がもたらしたセキュリティへの「経営層の理解」をもう1段階進める
製造業がIoTを活用していく上で課題となっているのが、サイバーセキュリティをはじめとする安心・安全の確保だ。本連載では、安心・安全を確立するための基礎となる「IoT時代の安全組織論」について解説する。第3回は、日本が特に低いとされる、経営層のサイバーセキュリティに対する理解をどのように高めていくかについて説明する。