まるでテック系のスリラー映画の一場面のような話だが、セキュリティ企業Avastの研究チームは先日、インターネット接続に対応したコーヒーメーカーの脆弱性を発見した。サイバー犯罪者らが、コーヒーメーカーを乗っ取ることは実際に可能で、もしかしたら仮想通貨の採掘を行わせる可能性もあるという。
Avastの社員のマーティン・フロンによると、コーヒーメーカーのCPUパワーは限られているため、仮想通貨を採掘させてもほとんど儲けにはならないというが、彼らはコーヒーメーカーのファームウェアに変更を加えて、外部からマシンを乗っ取ることに成功したという。
グラインダーを操作して豆をひいたり、保温プレートのオン・オフを繰り返したり、コーヒーの抽出を命じることが出来たという。さらに、警告アラームを鳴りっぱなしにすることも可能だった。
そして、最も重要なのは、フロンと彼の同僚たちが、コーヒーメーカーをロックダウンして、ディスプレイに身代金要求のメッセージを表示することに成功したことだ。朝起きて、コーヒーを飲もうとしたら、身代金を要求されるような事件は、現実に起こり得るのだ。
ただし、実際に攻撃を行うためにはいくつかの難関がある。コーヒーメーカーを乗っ取る場合、ハッカーは攻撃対象のデバイスのそばに居る必要がある。しかも、そのデバイスが新品で、最寄りのWi-Fiネットワークを探している状態でなければならない。
別の方法をとる場合でも、ハッカーはまず、攻撃対象のコーヒーメーカーの接続先と同じネットワークに忍び込んでおく必要がある。もしくは、そのコーヒーメーカーの専用アプリとそっくりな偽アプリを作成し、Google Playストアに掲載するという手口も考えられるという。
IoT機器に潜むセキュリティリスク
サイバー犯罪者がここまで手間をかけて、攻撃をしかける値打ちはないだろう。250ドル程度のデバイスの身代金を要求して、大金が得られるとは思えないからだ。しかし、このような攻撃が実際に行われるかどうかはさておき、今回のAvastのレポートは、ネットに接続されたデバイスが抱えている潜在的な脅威を警告するものと言える。
IoT機器の普及につれて、我々の暮らしの中にはセキュリティよりも便利さを優先した「スマート」なデバイスがあふれるようになった。サイバー犯罪者たちは自動化された攻撃によって、あらゆるデバイスを奴隷化しようとしている。
デバイスの製造元がセキュリティを高めても、今回発見されたコーヒーメーカーのような既存のデバイスの脆弱性は、この先何年も私たちに脅威を与え続けるかもしれない。その結果、朝のコーヒーが飲めなくなるよりも、はるかに悲惨な事態が起こることも考えられるのだ。
