コーヒー愛好家のシモーネ・マルガリテッリは、アマゾンで購入したスマートコーヒーマシンに満足していた。自宅のWi-Fiネットワークを使い、スマホのアプリからコーヒーを淹れることができるものだった。飲みたい分だけ、味も好みの濃さで、アプリのボタンひとつでカンタン抽出できる。

しかし、マルガリテッリはハッカーだ。一日のほとんどをパソコンの前で過ごすハッカーが使うのは、スマホではなくパソコンのキーボードだ。もちろん上限温度190℃のヴェイパライザーを6553.5℃まで遠隔で設定できるようハッキングするなんてことはお手のもの。「いいアプリだ」で終わるはずがなかった。

「コーヒーマシンを買ってすぐに考えたよ。何かほかのことをしながら、キーボードから自動でコーヒーを淹れられるようにハックできたらクールだなって。で、すぐにマシーンをリヴァース（解読）し始めたのさ」

結局、マルガリテッリはスマホのアプリがどのようにコーヒーマシンを制御しているのかを数時間足らずで解読し、スマホ以外からでも自動でコーヒーを淹れることができるよう、コーヒーマシンのプログラムごと書き換えてしまった。

ここまで聞くと、凄腕ハッカーがおもしろ半分に自分の腕試しをしているように聞こえるが、彼の目的はもうひとつあった。

IoT機器のハックは、あまりにも簡単すぎる

昨年、世界各地で史上最大規模といわれるDDoS攻撃（Distributed Denial of Service attack / 分散型サーヴィス妨害攻撃。サーヴァーの負荷や通量を増加させ、サーヴィスを低下させることを目的とした、攻撃元を分散した大規模なサイバー攻撃）が多発し、攻撃の標的となった基盤システムを利用するNetflixやTwitter、Airbnb、Spotifyなどの大手ウェブサーヴィスまでもが相次いでダウンする事態に発展した。

この大規模ネットワーク攻撃を仕掛けていたのは、マルウェア「Mirai」に感染した、数十万台に及ぶ家庭用ルーターやネットワークカメラなどの個人のデヴァイスだった。Miraiはセキュリティの脆弱なIoT機器を狙い、感染したデヴァイスを遠隔でネットワーク攻撃を行うためのボットネットに変えてしまうマルウェアである。

企業や社会のセキュリティ向上など、善良な目的でハッキングを行う「ホワイトハット・ハッカー」であるマルガリテッリはこの事態をうけて、IoT機器のハッキングがどれくらい簡単なのかを自身の目で確かめたかったのだ。そしてコーヒーマシン・ハッキングを経て出した結論は、「あまりにも簡単すぎる」ということだった。

「フルアクセス、つまり遠隔でコーヒーを抽出可能にして、さらにコーヒーマシンのファームウェアを書き換えるのに1日半しかかからなかった。認証情報など一度も要求されることなくね」

コーヒーマシンの内部のプログラムはマルガリテッリいわく「至極シンプル」なものだった。さらに、スマートコーヒーマシンの専用アプリでユーザー情報を登録するものの、コーヒーマシンの内部にはユーザーの認証アルゴリズムはなく、同じネットワーク内にいる人間は認証不要でコントロールを奪って遠隔操作することができてしまうという。

また、容易にハッキングできてしまうのは、コーヒーマシンに限らずほとんどのIoT機器にいえるようだ。

「ヘルスケアブレスレット、スマートTV、スマートウォッチ…。俺はおたくだからね、スマートデヴァイスも沢山買う。そして買ったものはほぼなんでもハックする。正直にいって、『ハックするのが難しい』と思うものにはまだ出会ってないよ。煮詰まったとしても数日でハックできる」

ひとつハックされると、すべてがハックされる

米国の調査会社Gartnerによると、2017年現在、ネット接続したデヴァイスは世界で80億台を超えている。2020年までには200億台を超えるまでに膨れ上がり、IoT機器やサーヴィスの市場規模は約3兆ドルに達すると見込まれている。

日本でもスマートTVやスマートキッチンなどのIoT機器のユーザーは増えているが、これらがハッキングされることでぼくらの生活にどう影響するのだろうか。家の冷蔵庫がハッキング？ コーヒーマシンが？ なかにはトイレをハッキングしてプロセスを公開したハッカーもいる。笑い話にもなりえてしまうが、マルガリテッリはセキュリティの脆弱なIoT機器の危険性についてこう話す。

「一度デヴァイスをハックすると、攻撃者は同じネットワークにつながったすべてのものにアクセスできるんだ。ハックしたデヴァイスを拠点にしてさらに大事なものを攻撃する。つまり、コーヒーマシンをハックしたということは、すべてをハックしたということなのさ」

2016年にBlackBerryが主催したセキュリティサミットでは、オフィスのネットワークにつながっている「スマートやかん」をゲートウェイにしてネットワーク全体に侵入し、危険性の高いデータを潜ませられることが証明された。

「企業のネットワークだったら、そのさらに大事なものとして、機密情報が蓄積されたメインデータベースや、もっと最悪なものにもなり得る。原子力発電所のタービンが侵入されたら、と想像してごらんよ」

そして一般家庭レヴェルでも。

「一般家庭のネットワークなら、たとえばアラートシステム（あるいはヘルスケアデヴァイス、火を使うスマートキッチン）のような別のスマートデヴァイスをハックして被害を起こすこともできるし、銀行口座やEメールなど個人の重要な情報を標的にしたMITM攻撃（man-in-the-middle attack / 中間者攻撃。通信を行う二者の間に入り込み、おもに通信内容の盗聴・改ざんを行う攻撃）をネットワークに仕掛けることもできる。さらに、ネットワークのアクセス権を得るということは、そのアクセス権を匿名での犯罪にも利用できるってことだよ」

IoT機器ハックは、SF映画のなかのできごとではない

「一見無害なコーヒーマシンハックも、Miraiの一件でIoTアタックがとてつもない被害につながることが証明されてしまったし、甚大なメディアインパクトをもつことも企業は気づいているはず。だけど、メーカー企業が十分に対策をしてるとはいえない。ほとんどのIoT機器が時代遅れで安全ではないソフトウェアをプロダクトに使っているし、つぎはぎだらけのテクノロジーだよ」

では、どうすればユーザーは自身のIoT機器をハッキングから守ることができるのか。マルガリテッリが教えてくれた3つの対策は、セキュリティデヴァイスを使いこなすうえでの新しいマインドセットともいえるものだった。

「まずは、ルーターがデヴァイスをパブリックネットワークに晒さないようにすること。次に、ルーターのファームウェアを最新の状態にすること。そして最後に、それぞれのデヴァイスで独立したネットワークを使うこと。もしひとつのデヴァイスやネットワークがハッキングされても、ハッカーは別の重要なデータから物理的に遮断されるからだ。ネットワークを切り分けることがカギさ」

あるいは、市販の専用セキュリティデヴァイスを活用するという手もある。トレンドマイクロの「ウイルスバスター for Home Network」は、家のルーターとつなぎ、スマホやタブレットに管理アプリをインストールするだけで、パソコンからIoT機器まで家のネットワークに接続されたデヴァイスをハッカーの手から守ってくれる。セキュリティソフトを直接インストールできないIoT機器のハッキング対策や、有害なサイトへのアクセスを一括で防御したいときに有効だ。

「セキュリティはマインドセット、またカルチャーのようなもの」とマルガリテッリがいうように、IoT機器のセキュリティ対策が浸透するにはまだ時間と労力がかかるかもしれない。しかし、ハッカーは待ってはくれないのだ。

これは、すでに現実に起こりえることだ。ハッキングはパソコンの画面の向こうだけで起こるものではなくなってしまった。インターネットがパソコンというハコを飛び出したいま、家のトイレ、冷蔵庫、電子レンジにスピーカーから、あなたの大事な情報が盗まれてしまうかもしれないのだ。

［ウイルスバスター for Home Network｜トレンドマイクロ