特集:IoTがもたらす製造業の革新〜進化する製品、サービス、工場のかたち〜
ニュース
» 2018年12月12日 10時00分 公開

IoTセキュリティ:狙われるスマートスピーカー、音声コマンドと同時にバックドアが開く!?

マカフィーはが2019年の脅威動向予測について説明。6つの主な予測を基に、企業データ、家庭用IoT(モノのインターネット)デバイス、ブランドが攻撃対象となり、サイバー犯罪者は主にソーシャルメディア、クラウド、携帯電話を標的に攻撃を仕掛けてくるようになるとしている。

[朴尚洙,MONOist]

 マカフィーは2018年12月11日、東京都内で会見を開き、2019年の脅威動向予測について説明した。6つの主な予測を基に、企業データ、家庭用IoT(モノのインターネット)デバイス、ブランドが攻撃対象となり、サイバー犯罪者は主にソーシャルメディア、クラウド、携帯電話を標的に攻撃を仕掛けてくるようになるとしている。

 今回は、「サイバー犯罪組織のより強固な協力関係を通じた連携の継続」「将来の回避技術におけるAI(人工知能)のさらなる活用」「複数の攻撃手法の組み合わせに対応するためのより洗練された防御策の必要性」「サイバー犯罪者によるソーシャルメディアを使った情報操作や強請(きょうせい)の対象が国家から企業へ」「クラウド上のデータをターゲットにした攻撃のさらなる増加」「音声認識機能を活用したIoTデバイスへの攻撃が次なる標的に」の6つが主な予測となっている。

マカフィーが発表した2019年の脅威動向予測 マカフィーが発表した2019年の脅威動向予測(クリックで拡大) 出典:マカフィー

 これらの中でもIoT関連で注目すべきなのは「音声認識機能を活用したIoTデバイスへの攻撃が次なる標的に」だろう。アマゾン(Amazon)やグーグル(Google)のスマートスピーカーを代表として、家庭内には音声認識機能を活用したさまざまなデバイスが用いられつつある。スマートフォン、タブレット端末、そして家庭内ネットワークを制御するルーターは既にサイバー犯罪者の攻撃対象になっているが、そこにスマートスピーカーも加わるという予測だ。

サイバー犯罪者によるスマートスピーカーへの攻撃方法と起こり得る影響 サイバー犯罪者によるスマートスピーカーへの攻撃方法と起こり得る影響(クリックで拡大) 出典:マカフィー

 新しいタイプのマルウェアが、スマートフォンやタブレット端末、ルーターを介して、家庭内のさまざまな機器の制御が可能なスマートスピーカーに感染する。そして、感染したスマートスピーカーがbotネットを提供してDDoS攻撃を仕掛けることにより、サイバー犯罪者が個人データを盗み出す可能性もある。また、スマートスピーカーを操作するために普段から使用している一般的な音声コマンドをトリガーにして、バックドアを開けたり、制御サーバに接続したりすることも可能になる。「音声コマンドのトラフィックに紛れてこれらの不正な制御が行われると、その動作の検出が難しくなる」(マカフィー セールスエンジニアリング本部 本部長の櫻井秀光氏)という。

 もちろん、スマートスピーカーだけでなく、今後さまざまなIoTデバイスが家庭内で増えていくことは、サイバー犯罪者にとって格好の攻撃材料になり得る。サイバー攻撃の入り口になるであろうスマートフォンやタブレット端末、ルーターのセキュリティ対策が、より重要になるといえそうだ。

 会見ではこの他にも、国内でビジネスパーソン向けに実施した「2018年のセキュリティ事件に関する意識調査」を基にランク付けした「2018年の10大セキュリティ事件」も発表している。

順位 セキュリティ事件(時期) 認知度(%)
1 コインチェック 秘密鍵を流出し、580億円相当の仮想通貨「NEM」が流出(2018年1月) 48.7
2 佐川急便をかたるフィッシングメール。不正アプリをダウンロードすると個人情報を盗まれ、さらなる犯行の発信元として悪用される(2018年7月〜) 38.1
3 海賊版サイト「漫画村」が社会問題に 一部では、利用者のデバイスを仮想通貨マイニングに利用(2018年1月) 33.5
4 アダルトサイトの閲覧を周囲に暴露すると脅して、仮想通貨の支払いを要求する「性的脅迫(セクストーション)」の手口を使った詐欺メールが出回る(2018年10月) 30.6
5 「アラート:あなたのアカウントは閉鎖されます。」という件名でAmazonの偽サイトへ誘導する、Appleをかたるフィッシングメールが出回る(2018年6月) 30.5
6 Facebookでインシデント相次ぐ 機能テスト中のバグで1400万人が意図せず投稿を「全員に公開」(6月)、2,900万人分の個人情報が流出(9月〜10月) 28.9
7 ルーターへのサイバー攻撃が相次ぎ、PCやスマートフォンでネットが使えなくなる不具合が多発 NTT、ロジテック、バッファローの機種で被害を確認(2018年3月〜4月) 25.6
8 JALがビジネスメール詐欺(BEC=Business E-mail Compromise)により、偽の請求書メールにだまされ約3億8000万円の被害に(2017年12月) 25.4
9 Twitter偽アカウントを一斉削除 対象は数千万件規模に上るとみられ、一部利用者のアカウントからは急激にフォロワー数が減る可能性が(2018年7月) 24.2
10 「重要 : 必ずお読みください」というタイトルでフィッシングサイトへ誘導する、セゾンNetアンサーをかたるフィッシングメールが出回る(2018年3月) 23.0
表 マカフィーが発表した「2018年の10大セキュリティ事件」

Copyright © ITmedia, Inc. All Rights Reserved.