ハッカーから家のドアベルとカメラを保護する方法
科学が進歩し続けるにつれて、ありふれたものが洗練された技術の一部になります。最近では、ドアベルも、悪意のある第三者によって侵害されているモノのインターネット(IoT)デバイスの増え続けるリストに加わりました。報告によると、3000のリングアカウントへの資格情報がハッキングされたため、多数の攻撃が行われました。不安な報告の1つでは、8歳の少女の寝室にあるリングカメラが個人によってハッキングされ、人種差別的なスラーで母親に電話するように命じられました。カメラがハッキングされるのはこれだけではありません。複数のケースがあり、訴訟に至りました。
残念ながら、カメラ、ドアベル、スマートスピーカー、冷蔵庫などの家電製品などのスマートホームデバイスは、今日のハッカーによって侵害される可能性があります。 Ringは、システムが侵害されたのではなく、他のシステムが侵害された結果であると言って、告発を否定する声明を発行しました。
これはリングの声明が言ったことです:
「これが起こった。悪意のある攻撃者は、別の外部の非リングサービスからリングユーザーのアカウント資格情報(たとえば、ユーザー名とパスワード)を取得し、それらを再利用していくつかのリングアカウントにログインしました。複数のサービスがあるため、悪意のある攻撃者が多くのアカウントにアクセスする可能性があります。」
Ringステートメントで言及されている攻撃は、「クレデンシャルスタッフィング」攻撃と呼ばれます。
起こるのは、ユーザーのアカウントログイン(ほとんどの場合、メールアドレス)とパスワードが悪意のある攻撃者に盗まれることです。次に、これらの資格情報はDark Webで最高額入札者に販売され、他のシステムへのアクセスを試みるために使用されます。ユーザーがさまざまなアカウントで同じパスワードを再利用するのは残念です。被害者のパスワードを取得すると、複数のシステムにわたるすべてのアカウントにアクセスできます。
パスワードを変更し、Two-Factor Authentication(2FA)を有効にするRingの指示は、適切ですが、ハッカーを阻止するには十分ではありません。ほとんどのセキュリティ専門家は、IoTデバイス、特にカメラには優れたセキュリティ対策が必要だと考えています。
Ringがデータ侵害に関与したのはこれが初めてではありません。以前は、リングドアベルがWiFi資格情報を漏洩し、デバイスのパスワードが更新された後もユーザーがデバイスにログインしたままにすることができるセキュリティ上の欠陥の報告がありました。
IoTのハッキングにつながる資格情報の漏洩の例は、リング違反だけではありません。工場出荷時のデフォルトパスワードを使用して複数のタイプのIoTデバイスにアクセスする有名なMiraiボットネットは、このプラクティスの代表的な例です。静的な資格情報(ユーザー名とパスワード)は無効であることが証明されており、多くの所有者は無知またはその他の理由でそれらを変更することを気にしないため、潜在的なセキュリティの脅威を悪化させます。今日、私たちはより高度なセキュリティ技術を使用しており、デフォルトのユーザー資格情報は他の何よりも有害であることが証明されています。
安全なIoTデバイスを構築する方法
IoTデバイスはもはや新しい技術ではなく、高度なセキュリティが必要です。車、カメラ、スマートドアベル、電化製品など、インターネット経由で接続されたデバイスを販売する余裕はありません。カリフォルニア州と欧州連合は、すでにIoTデバイスのより高いレベルのセキュリティを必要とする法律の制定を開始しています。 IoTデバイスの安全性を確保するために、他の多くの法律や規制が追加されています。それ以上に、FDAのような政府の規制機関は、特定の市場のIoTデバイスに対するより大きなサイバーセキュリティ要件を追加し始めています。
IoTセキュリティを実装する方法
リングの侵害は、パスワードの再利用などの不十分なセキュリティ慣行によって引き起こされましたが、それはリングができなかったことを意味するものではありません。デバイスに多要素認証または証明書ベースの認証が必要だった場合、これらのリークは防止された可能性があります。 IoTデバイスメーカーがセキュリティをより真剣に考え始め、より高度なセキュリティ対策を自社製品に追加することが不可欠です。最新のセキュリティプロトコルを使用することで、サイバー攻撃から比較的安全な接続されたホーム環境を構築することができるように、技術は十分に進歩しています。
理想的には、インターネットに接続されたデバイスには、デバイスを攻撃から保護し、デバイス自体の整合性を保護し、デバイスIDを追加するセキュリティ機能が組み込まれています。高度な暗号化アルゴリズムを使用します。 IoTデバイスのセキュリティを改善する機能には次のものがあります。
-
- セキュアブートを追加します。この機能により、ソフトウェアが最初の「電源投入」からアプリケーション実行まで改ざんされていないことが保証されます。また、開発者はブートローダー、マイクロカーネル、オペレーティングシステム、アプリケーションコード、およびデータに安全にコード署名することができます。
- デバイスID証明書を適用します。製造中にデバイスにデジタル証明書をスタンプすると、ネットワークに追加されたとき、およびそのネットワーク内の他のデバイスと対話する前に、IoTデバイスが認証されます。これにより、偽造デバイスから保護されます。
- ファイアウォールをIoTデバイスに埋め込みます。組み込みファイアウォールは、許可されていないデバイスとの通信をブロックし、悪意のあるメッセージを防ぎます。
- セキュアエレメントを使用します。 OEMおよび医療機器メーカーは、トラステッドプラットフォームモジュール(TPM)準拠のセキュアエレメントなどのセキュアエレメント、またはセキュアキーストレージ用の組み込みセキュアエレメントを使用する必要があります。セキュアキーストレージはセキュアブートを保証し、セキュアエレメント内で作成されたキーペアを使用したPKI登録により、非常に高いレベルのセキュリティとハッキングからの保護が追加されます。
- 安全なリモート更新を確認します 。インストール前にデバイスのファームウェアが何らかの方法で変更されていないことを確認することが重要です。安全なリモート更新により、コンポーネントが変更されておらず、OEMからの認証済みモジュールであることを確認できます。