電動スマート歯ブラシがウィルス(マルウェア)に感染……虫歯ならぬ虫歯ブラシで最大300万台の大規模Botsnetが完成しDDoS攻撃が発生。
tomshardware.comの記事である。
歯ブラシは虫歯を防ぐ物だが、歯ブラシのソフトウェアに虫がついてこれほどの虫歯ブラシになるのは珍しいことだろう。今は。
これは、IoTデバイスを生産している企業としては他人事ではないとても深刻な話であり、IoTデバイスを使う人もその製品の必要性を問われる話になるかもしれない。今回の場合はスイス企業で発生したもので、口内習慣の監視機能を持つスマート歯ブラシのプログラム(JAVAベース)の脆弱性を利用してマルウェアが感染、そのマルウェアによってスイス企業のサーバーサービスにDDoSによる飽和攻撃が行われてサービスがダウンしたというものだったようだ。
この手のIoTデバイスは今ではテレビ、エアコン、冷蔵庫、オーディオ機器、カメラセンサーデバイス、レコーダー、照明器具など様々なもので存在し、高価なものほど搭載される傾向にあるが、セキュリティアップデートを怠るとこういう事態になることがある。また、今回はサービスを提供する側が被害にあっているが、センサーなどを内蔵する製品だと個人情報や家庭内のネットワークセキュリティ情報(無線のパスワードやサービスへのログインアカウント情報など)が漏れることもあるので気を付けなければいけない。
何より怖いのは、今回はサポート状態がどうだったのかなどの情報がないので不明だが、この手の製品は数年から長くても10年ぐらいでEnd Of Life/End Of Serviceといったソフトウェアアップデートサービスが完全に終わる事もしばしばあることだ。ソフトウェアの更新が終わっても、たいていの場合はハードの方が使えるため故障するまで使うなんてザラにある。だから、これは開発するメーカー自身も気を付けるべき事だが、ノンステップで直接サービスと繋がるデバイスの開発や購入は避けた方がよい。
Bluetoothなどで、携帯電話などとリンクして情報を取り込むか、USBメモリーなどを介してPCに取り込むようなデバイスの方がよいだろう。もしそれが無理なら、EoLやEoSとなる時に、通信機能に関する部分を殺すアップデートを提供して単体でのみ使えるようにするなど、手段を講じるべきだろう。
尚、最近は若者でも高齢者でもウィルスに感染したというメッセージがPCやスマホ画面に出ることで、お金を支払う被害も多いが、セキュリティというものはOSやシステムに最初からアドオンされていてそれさえあれば安全だと過信して居る人が増えているのもあるからだろう。元々セキュリティというのはOSの堅牢性があれば安全を担保するものではない。これはいわゆる保険の一種だ。
何かあった時に、自分で原因を特定できてOSの再インストールやBIOS/UEFIの回復などが出来るなら別にセキュリティソフトなど無くても良いのだ。しかし、万が一が起きた時に、金払えば治りますよで数十万数百万払ってしまうぐらい自分が騙されていることに気が付かないぐらいテンパるなら、それをちゃんと警告してくれるソフトウェアが数千円で1年間ぐらい使えるのだから、入れた方が安全だ。
これを、OS標準のセキュリティが優秀だから大丈夫といった形で、はき違えてはいけない。何せOSが感染や不正な広告情報の判断をしてくれない時に、それがおかしいと自分で認識出来ないならあなたは結局それより沢山のコストを払うことになるのだから。
そして、これは個人だけじゃ無く企業にも言えることだ。サービスが終わる時に、機能を生かしたまま終わってしまうと、結果的に自分達のサーバーが攻撃を受けて陥落することも有り得るし、だからと言って短期間でサービスを終えていると、そのサービスの短さが製品の評価を下げることもあるのだ。だから、サービスの継続性とユーザーに対する利便性や満足度のバランスを良く考えてサービスの終了時期や、ハードウェアの継承性(世代交代時のソフトの互換性)をしっかり決めておく必要がある。
