スマートハウスのセキュリティ
昨年(2015年5月)、朝日新聞デジタルでスマートハウスの情報を一元管理する「HEMS」で、他人がアクセスして勝手にエアコンを操作したりカギを開けたりされる恐れがあるという記事が掲載されていました。ルーターを介さずにネットに接続している場合やIDとパスワードが初期設定のままだったりするとHEMSが第3者に操作される危険性があるというものでした。しかし、ルーター自体の脆弱性も多数報告されていますので、ルーターを介したから安全というわけではないようです。
また、2016年3月には、住宅機器の遠隔サービスで、代替わりした際のパスワードの発行に不具合があり、代替わり前の人が機器を操作したり氏名やメールアドレスを閲覧したりできる状態になっていたということがありました。
今のところ、こうしたセキュリティの不都合による深刻な被害というのは起きていないようですが、スマートハウスのセキュリティ対策が正しく行われていない場合、例えば、「給湯器の空焚きで火事を起こす」「停電を起こして、あるいは警報装置・ドアロックをわざとダウンさせて住宅に忍び込む」といった犯罪が起きないとも言えません。こうした直接的な犯罪に至らなくても、第3者に電力の使用状況から生活パターンが推測されるということもあり得ます。生活パターンが知れると、空き巣やストーカーといった脅威につながるかもしれません。「スマートハウスはハッカーに玄関を開けるようなもの」と警告を発する専門家もいるようです。
IPA「IoT開発におけるセキュリティ設計の手引き」
2016年5月にIPAから出された「IoT開発におけるセキュリティ設計の手引き」では、スマートハウス、ここではHEMSコントローラに接続されたHEMS 対応機器やそれ以外のネットワーク対応機器がホームルータを介してインターネットに接続され、外出先から機器の様子を監視したり、遠隔操作したりすることが可能なシステムにおいて、次のような脅威が想定されるとしています。
〇 スマートハウス内に設置された機器の一部に保存されたデータの漏えい
〇 通信路上のデータの盗聴・改ざん
〇 クラウドサービスやインターネット上に接続された中継機器への不正アクセス
(不正ログイン、その後の不正コマンド発行による許可なき遠隔操作)
〇 クラウドサービスやインターネット上に接続された中継機器へのDoS 攻撃
〇 クラウドサービス上に保存されたデータの漏えい(IoT開発におけるセキュリティ設計の手引き 2016年5月 独立行政法人 情報処理推進機構 技術本部 セキュリティセンター より)
また、こうした脅威に対する対策として次のようなもの有効と考えられるとしています。
〇 内部にデータを保管する機器、クラウドサービス上のデータ暗号化
〇 屋外に設置する機器の分解対策(耐タンパー)、データのセキュアな消去
〇 通信路の暗号化
〇 クラウドサービスやインターネット上に接続された中継機器における脆弱性対策
〇 クラウドサービスやインターネット上に接続された中継機器における認証の強化(IoT開発におけるセキュリティ設計の手引き 2016年5月 独立行政法人 情報処理推進機構 技術本部 セキュリティセンター より)
これらの脅威と対策をマッピングしたものが下図です。
(IoT開発におけるセキュリティ設計の手引き 2016年5月 独立行政法人 情報処理推進機構 技術本部 セキュリティセンター より)
図においては、IoT関連のセキュリティガイドOWASP Internet of Things Project(※1)、OTA IoT Trust Framework(※2)の関係も示されています。
(※1)OWASP
OWASPは「The Open Web Application Security Project」の略で、セキュリティ専門家のMark Curphey氏によって2000年に創設され、2001年12月に設立されたOWASP Foundationによって運営されています。信頼可能なアプリケーションの考案・開発などウェブアプリケーションやウェブサービスのセキュリティの改善を目的とした共同研究や関連活動を行っている非営利団体です。日本でも、2012年に「OWASP Japan」が立ち上がっています。
The OWASP Internet of Things Projectは、OWASP内のプロジェクトの一つで、製造業者・開発者・消費者のIoT に関わるセキュリティ上の問題の理解向上を支援すること、IoT 技術の構築・展開・評価に際して利用者のセキュリティ上の検討を支援することを目的とした活動を行っています。2014 年にIoT において脆弱性を生じやすい10 のポイントを整理しTop 10 IoT Vulnerabilities としてまとめています。
(※2)OTA
OTAは「Online Trust Alliance」の略で、インターネットのイノベーションとバイタリティを促進させ、オンラインの信頼性を強化して、ユーザエンパワーメントを高めることを目指して活動を行っている非営利団体です。米マイクロソフトや米シマンテック、米ベリサイン、ツイッターなど米国の有力IT企業など100 以上の組織が加盟しています。
OTA IoT Trust Framework – Released 3/2/2016では、ホームオートメーションとコネクテッドホーム製品、ヘルスケア&フィットネス分野向けウェアラブル技術における30 個の必須・推奨項目を規定しています。
(https://otalliance.org/system/files/files/initiative/documents/iot_trust_framework_released_3-2-2016.pdf より)
(IoT開発におけるセキュリティ設計の手引き 2016年5月 独立行政法人 情報処理推進機構 技術本部 セキュリティセンター 参照)