事例Use case

【Bitdefender海外ブログ】8歳児を「死ぬほど怯えさせた」、乗っ取られたNest社製の防犯カメラからのミサイル攻撃警報

2019.3. 8

ツイート シェア 送る はてブ

nest-emergency.jpeg

北朝鮮からのミサイル発射という警報が鳴り響いた恐怖

カリフォルニア州に住む一家が、スマート防犯カメラから、北朝鮮が発射した3発のミサイルがシカゴ、ロサンゼルス、オハイオに向かっているという偽の警報が流れてきた時の「恐怖」体験を語ってくれました。

カリフォルニア州オリンダに住むローラ・リオンズ(Laura Lyons)さんは、日曜日にテレビの上に設置したインターネットに接続されているNest社製の防犯カメラから、北朝鮮が大陸間弾道ミサイルを発射したという恐ろしい警報により、一家が恐怖に包まれた体験を"Mercury News"に伝えました。

月曜日にリオンズさんは次のように述べました。「警報は、アメリカ合衆国が北朝鮮に報復措置を執り、該当する地域の住民は3時間以内に避難しなければならないという内容でした。本物の警報にしか聞こえませんでした。音量も大きく、すぐに注意を引かれました。5分くらいは、ただ恐怖におののき、それから30分ほど、状況確認のために奔走しました。」

リオンズさんの8歳の息子は、ひどく怯えて絨毯の下に潜り込んでしまいました。


おそらく、冷酷なハッカーが一家のNest社製カメラを乗っ取り、パニックに陥る様子を見ていたのでしょう。

この事件が起こるまで、リオンズさん一家は、この防犯カメラにスピーカーが搭載されていることを知りませんでした。まして、デバイスが乗っ取られるリスクなんかは言うまでもありません。

しばらくの間、Nest社や緊急サービスに問い合わせの電話をして、ハッカーがインターネット上の別の場所から盗んだパスワードでカメラにアクセスし、ミサイル攻撃警報を流した可能性が高いと確認できました。


使い回しのパスワードにより防犯カメラがハッキングされ偽警報が流された

つまり原因は、Nest社(Googleの子会社)ではなく、リオンズさん一家がインターネットで既に使用していたパスワードを防犯カメラにも使い回していて、カメラがハッキングされやすい状態にあったからという可能性が高いということです。

パスワードの使い回しは、残念ながら私たちがオンラインで犯す最も一般的なミスの1つです。アカウントごとに異なるパスワードを設定し、覚えられない場合は(ユニークで難解なパスワードを設定すれば、ほぼ確実に覚えられません)、適切なパスワードマネージャーに投資することが賢明な判断です。

しかし、ここ数週間でNest社製カメラ所有者の多くが同様の体験をしていることをNest社側が認めたため(ミサイル攻撃警報の例はありませんでしたが)、リオンズさん一家の懸念は怒りに変わりました。

本ブログの読者の皆さんは、Nest社製カメラの制御を乗っ取ったカナダ人ハッカーが教えるPhoenix社製カメラ所有者に向けたセキュリティを向上する方法を紹介した先月の投稿記事を思い出すかもしれません。

ユニークで難解なパスワードを設定し、さらにNest社のアプリで二段階認証(2SV)を有効にしていれば、リオンズさん一家があのような恐怖を味わうことはなかったでしょう。

Nest社は声明の中で、IoTカメラのセキュリティを強化する機能を導入していると述べました。

「私たちは、ホームセキュリティを極めて深刻に受け止めています。侵害されたパスワードを却下するだけでなく、お客様が自分のアカウントへのアクセス状況を監視し、認証情報を不正利用している部外者がいないか追跡できるようにする機能を積極的に取り入れています。」


翻訳元記事:8-year-old 'scared to death' after hacked Nest security camera warns of missile attack

ID/パスワードを安全に管理するために

「SECURIE」は専用ルーター装置「Bitdefender BOX 」を家庭内ネットワークに設置するだけで、ネット家電などのパスワード漏えい対策を簡単かつ低コストで実現できます。

1. 狙われやすいパスワードを検出する、「ぜい弱性診断」
指定したデバイスに対して、ネットワークセキュリティ上の欠陥がないか、スキャンを行うことができます。たとえばユーザー名・パスワードの組み合わせが弱いものになっている、ファームウェアのバージョンが古い、CVE脆弱性がある、などです。これらのぜい弱性が見つかった場合、Centralアプリに通知が届き、対処方法などをユーザーに知らせてくれます。

20180417_005458000_iOS.png


2. メールアドレスの漏えいをチェックする、「アカウントプライバシー」機能
SECURIEに付属するセキュリティソフトBitdefender Total Securityには、Eメールアドレスの漏えいをチェックする「アカウントプライバシー」機能が搭載されています。使用しているメールアドレスを入力すると、過去に情報漏えいの被害にあったデータの中に、自分のメールアドレスが含まれていないか確認することができます。漏えいの被害にあっていた場合は、パスワードの変更を促す警告画面が表示されます。

Screenshot_20190220-174837.png


3.パスワードを総当たりで攻撃する、「ブルートフォース攻撃」を防御
ブルートフォース攻撃は、多くのユーザー名とパスワードの組み合わせを試行し、最終的に適切な組み合わせを推測し、システムにアクセスできるようにする攻撃です。攻撃者は通常、記号、文字、大文字/小文字を組み合わせた最も一般的なパスワード(「P@ssw0rd」など)をチェックします。
これに対して、特定のデバイスが一定の期間内に一定の回数のログインに失敗した場合、攻撃をブルートフォースとして検出します。攻撃者のIPアドレスはデバイスへのアクセスをブロックされます。