便利だけど危険 ベビーモニターが危ない理由
ベビーモニターはテディベア、おもちゃの子犬、ぬいぐるみキリン、長い、簡単に曲げられる茎に花に似ていて、非常に無邪気に見えるかもしれません。
赤ん坊をじっと見つめ、泣き声でもいびきでも、そのすべての動きと音を追跡します。赤ん坊の鼻や口がふさいだり、ベビーベッド(スマートゾーン)から赤ん坊が飛び出したりした場合など、何か異常があればリアルタイムで親に知らせることができます。
未来のベビーシッター
モニターはベビーシッターの代わりにはならないが、親が隣の部屋にいたり、Wi-Fi対応のモニターの場合は別の街にいたりと、どこにいても小さな子供から目を離さないようにすることができる。
カメラによっては、360度回転し、赤ちゃんをズームアップすることができます。
赤ちゃんがかんしゃくを起こしているときは、モバイルアプリで遠隔操作される子守唄であやすことができます。
それでもダメなら、親が赤ちゃんに話しかけると、双方向通信機能により、クンクン、グズグズ(または泣き声)するのを聞くことができるのです。
しかし、ベビーモニターは無邪気な外観に関係なく危険な場合があります。
他のハイテク機器と同様、ベビーモニターは侵入されやすいのです。
一度ハッカーの餌食になると、スマートホームのシステム全体が侵入されてしまうこともあるのです。
侵入されたベビーモニターは、ローカル・ホーム・ネットワークへのゲートウェイとして機能し、そのネットワークに接続された他のあらゆるデバイス(スマート音声アシスタント、スマートスピーカー、スマートプラグ、スマート電球、スマート掃除機などなど)にアクセスできるのです。
写真 Manik Roy/Unsplash
さらに怖いのは、スマートホームへのバックドアを狙う犯罪者はすでに十分悪質ですが、赤ちゃんの精神に傷を残すかもしれない性犯罪者も潜んでいるのです。
インターネットに接続できるベビーモニターは、セキュリティが甘く、攻撃に対して非常に脆弱であることが悪評となりました。
しかし、それでもその人気は衰えなかったです。
世界のベビーモニター市場は10億ドル以上と評価され、成長を続けています。
デジタルとアナログのモニターは、忙しい親がベビー用スマート技術に求める一つの主要な特典を欠いている。
その特典とは制限のない通信範囲です。
最高のデジタルモニタであっても最大300メートルの距離までしかカバーできません。
そのため、親がモニターへのリモートアクセスを失う準備ができていない限り、彼らはそれに伴うリスクを受け入れ、それを最小限に抑えるようにする必要があります。
しかし、対策をとるには、悪者がどのようにベビーモニターをハイジャックするのか正確に知っておく必要があります。
ベビーモニターをハックするには、数クリックで十分
この記事では、インターネットに接続されたベビーモニターに焦点を当てます。
そのようなモニターは機能が豊富であるため、しばしば親の主な選択肢となっています。
さらに、ベビーモニターをセットアップすることは非常に簡単であり、モニターにスマートフォンをペアリングするだけで十分となっています。
ベビーモニターがインターネットに接続されると、ハッカーにとって格好の標的となります。
ほとんどの攻撃は標的型ではなく、インターネットをスキャンして脆弱性を持つ機器を発見し、それを悪用することから始まります。
その際、悪質業者は、Shodan や Censys などの一般に公開されている検索エンジンを使用します。
これらのエンジンは、Internet of Things (IoT) やスマートな相互接続デバイスをスキャンして脆弱性を探します。
例えば、Shodanは、ベビーモニター、ウェブカメラ、ルーターなど、一般に公開されているすべてのIoTデバイスのインデックスを少なくとも週に1回作成しています。
これらのマッピングツールのいずれかを使用することで、セキュリティ研究者やハッカーは同様に、未修正の脆弱性や更新が不足しているファームウェアを持つ特定のデバイスタイプを検索することができます。
ハッカーは、特定のポート(特定のサービスの通信を受信または送信するネットワークプロトコル)を探すこともできます。
そこから、国、インターネットサービスプロバイダ、IPレンジで検索を絞り込むことができます。
ハッカーは、ある特定のデバイスに狙いを定めると、デフォルトの認証情報を使ってそのデバイスにアクセスしようとしますが、多くの保護者はデバイスを設定した後、そのままにしておくため、スマートホームへの扉は事実上開いたままになっています。
認証情報は、単純なGoogle検索、製品マニュアルに記載、簡単に推測できる「admin」/「admin」のペア、またはその他の巧妙な言葉の組み合わせで取得できます。
一度カメラを乗っ取ると、ハッカーはただ見るだけでなく、カメラを動かしたり、画像や動画の保存先を変更したり、その他あらゆる悪事を働くことができるようになります。
ホームルーター、スマート冷蔵庫など、あらゆるものが侵入経路になりえる
ベビーモニターに限らず、安全が確保されていないルーターや、ホームネットワーク上の安全が確保されていない他インターネット接続機器に侵入されるケースはよくあります。
写真: Sigmund/ Unsplash
ルーターを例に挙げてみましょう。
ルーターには、スマートデバイスが接続されているホームネットワークの設定が保存されています。
設定を変更したい場合は、ブラウザーを通じてルーターのファームウェア(そのソフトウェア)にログインする必要があります。
侵入者がルーターにアクセスするためには、ルーターのIPアドレスのほか、リモートアクセスのパスワードやログイン情報を知っている必要があります。
ルーターは、インターネットに接続された機器の中で、脆弱性を探すためにShodanや同様のツールで日常的にスキャンされ、監視されている機器です。
ほとんどのルーターでは、デフォルトのユーザー名とパスワードは「admin」です。
そうでない場合は、ルーターのデフォルト認証情報をルーターの名前とモデルをググることで簡単に見つけることができます...。
上記の検索エンジンのいずれかを使用して、ハッカーがあなたのルータをハックして、それに接続されているすべてのデバイスへのアクセスを取得し、ホームネットワークをハイジャックすることができます。
ハッキングされたルーターだけでなく、ハッキングされたスマート冷蔵庫、あるいは自分のPCが攻撃者の侵入口となるかもしれません。
そこから、ベビーモニターを含む他の機器に侵入し、干渉することができてしまうのです。
バグに侵されたファームウェア
最も賢明なことは、セットアップ時すぐにルータとベビーモニターの両方のデフォルト資格情報を変更することです。
これは間違いなく、それほど巧妙ではない攻撃からお持ちの端末を保護しますが、まだ完全に安全というわけではありません。
ユーザーが直接コントロールできない問題としては、ベビーモニターのソフトウェアにバグがはびこり、メーカーがタイムリーなアップデートをリリースしないことがあり、攻撃者が脆弱性を悪用する道を開いてしまうことがあります。
BitdefenderとPCMagの研究者が発見した人気のWi-Fi対応ビデオベビーモニターの脆弱性により、悪意ある者はライブ映像へのアクセス、スクリーンショットの撮影、音楽の再生、デバイスIDの学習を行うことができました。
この脆弱性は、クラウドストレージの不適切な設定に起因しており、1台のベビーモニターにアクセスできる誰もが、同じメーカーとタイプの他のすべてのベビーモニターに保存されているすべてのビデオと写真にアクセスすることができました。
この問題が修正されたのは、研究者が調査結果を公表してからで、脆弱性が最初に発見されてから9カ月後のことでした。
Google Playで5万~10万インストールされている別の人気ベビーモニターの場合、攻撃者がオーディオ・ビデオフィードにアクセスし、デバイス上で悪意のあるコードを実行できる可能性のある脆弱性を修正するのにベンダーは1年半もかかりました。
先に述べたように、ベビーモニターのパスワードを推測することは、ロケット科学のような難しいものではありません。
しかし、かつてベビーモニターに使用されていたウェブカメラソフトウェアに忍び込んだバグは、ハッカーにとって侵入をさらに簡単にしました。
セキュリティ上の穴によって、攻撃者はユーザー名とパスワードを求められたときに「OK」ボタンを押すだけでカメラのウェブインターフェースにアクセスすることができたのです。
このような脆弱性は、攻撃者がデバイスへの侵入を試みる際に探し求めるものです。
そして、メーカーが修正策を打ち出すのに数カ月かかることもありますが、ハッカーはノンストップで脆弱性をスキャンしているのです。
最新の調査によると、ベンダーがCommon Vulnerabilities and Exposures(CVE)文書として知られる開示レポートを公開してから、ハッカーは15分以内に脆弱性のスキャンを開始するそうです。
CVE Details のようななサイトを閲覧して、自分のデバイスに公開されている脆弱性がないかチェックすることができます。
ベビーモニターがハッキングされた場合、何が起こりえるのか
ベビーモニターは、それだけ簡単な獲物であることを考えると、退屈なティーンエイジャーも子供捕食者も潜在的な強盗犯罪者も、誰もが攻撃をしかけたりすることがありえます。
ハッキングされたモニターのケースは多く、ハッキングの動機も様々です。
あるケースでは、ハッカーがカメラを通して赤ちゃんに性的な言葉を吐き、子供を誘拐すると脅したと報告されている。
また別のケースでは、ベビーモニターをハッキングした男が、3歳の女の子に「愛している」と言ったという。
写真: Azamat E/Unsplash
ベビーモニターをハッキングする犯罪者は、子供と"仲良く"なろうとすることが知られています。
ある母親は、見知らぬ人がモニター越しに2歳の子どもを寝かしつけようとしたと主張している。
攻撃者の中には、代わりに親に焦点を当てる者もいる。
ある女性は、目が覚めたらワイヤレスの子犬の顔をしたベビーモニターが自分を見つめていたと主張した。彼女はまた、モニターが彼女がいつも授乳している場所に向かって勝手に移動するのを見たという。
Wi-Fiモニタのほうがこのような攻撃の犠牲になる可能性が高いですが、デジタルとアナログのモニタも免疫ではありません。
ただし、デジタルモニターをハッキングするには、デバイスのシグナルを見つけて追跡し、物理的にモニターに近づき、特別な盗聴ツールを持つ必要があり、そこまで簡単ではありません。
悪意ある者は、日常生活に干渉することなく、強盗の準備として、偵察のために黙ってあなたを監視することもあります。
彼らは将来的にあなたを脅迫するためにビデオを保存することがあります。あるいは、ベビーモニターを利用して、同じネットワーク上の他のスマートデバイスに侵入するかもしれません。可能性は無限であり、ハッカーがいかに邪悪で巧みであるかによってのみ展開が決まるのです。
ベビーモニターを安全にする方法
ベビーモニターは、子供の見守るのに素晴らしいツールです。
しかし、ベビーモニター(特にインターネットに接続されているもの)は、小さな子供だけでなく、家庭全体に危険をもたらします。
そして、ベビーモニター経由で見知らぬ人を招待したくない場合は、お持ちのデバイスは、可能な限り安全であることを確認する必要があります。
セキュリティにはレベルがあり、Wi-Fiモニターは原則として、Wi-Fiなしのモニターよりも侵入されやすくなっています。
だから、家の中だけで動作するようになるモニターが必要な場合は、非Wi-Fiのモニターを選択したほうがいいです。ハッキングが困難である非静的なチャネルを介してデータを中継します。
どうしても遠くから赤ちゃんを見守るために、インターネットに接続するベビーモニターを使用したい場合、以下が安全性のために守るべきルールです:
- お使いのベビーモニターの、メーカーが提供するデフォルトログインとパスワードを変更する。他のデバイスなどで再利用されていない強力なパスワードを作成してください。その後も、定期的にパスワードを変更し、非アクティブな招待ユーザーを削除することを忘れないでください。
- 二要素認証、強力な暗号化、Wi-Fi接続オン・オフボタン、許可ベースのファミリーアクセスのようなセキュリティ機能を備えていて、信頼できるメーカーによるベビーモニターモデルを使用する。
- お持ちのベビーモニターのソフトウェアを常に更新する。また、可能であれば、メーカーにデバイスを登録すると、セキュリティの脆弱性が発見されたら、すぐに通知を受け取ることになります。
- お使いのルータのファームウェアを更新し、工場出荷時のユーザ名とパスワードを変更する。
- ローカルホームネットワークとインターネットの間のバッファとして機能するファイアウォールを使用する。有害なトラフィックをフィルタリングし、外部からの侵入を阻止します。
- お使いのWi-Fiネットワークを分別する(ベビーモニターと他のスマートホームデバイスのために別々のWi-Fiとパスワードを作成する)。
