近年、インターネットに接続することで様々な機能が利用できる「スマート家電」が多数販売されています。スマートスピーカーによる音声入力やスマートフォンのアプリからの操作、特定条件による自動操作などの便利な利用が可能であり、ご自宅で使用されている方も多いのではないでしょうか。

総務省が公開する令和3年度版情報通信白書 によれば、いわゆるスマート家電やIoT化された電子機器などを含む「コンシューマ」にカテゴライズされたデバイス数は2023年には約96.8億台にもなるとされ、今後も高成長が予測されています。

しかしスマート家電の利便性は非常に高い一方で、搭載されたカメラやマイク等のデータが流出する、通知のため送信されるメールが盗み見られるなど、プライバシー情報が流出するリスクがあります。また多くの製品がインターネット、クラウドに接続できることを前提としているため、ネットワークやクラウドの障害が発生すると通常の利用すら危うくなる可能性があります。

安全に利用するためには、システムの構成を理解し、適切なセキュリティ対策をすることが重要です。

そのような背景を踏まえ、今回は
１．実際に確認されたスマート家電の脆弱性や障害
２．スマート家電の脆弱性がもたらす影響を最小限にするためには
についてそれぞれまとめました。

是非最後まで御覧ください。

１．実際に確認されたスマート家電の脆弱性や障害

①三菱電機製家電製品における複数の脆弱性（2022年）

2022年9月、三菱電機製の家電に複数の脆弱性が確認されました。
・暗号化されていない通信を用いた重要情報の平文送信による認証情報の窃取
・サービス運用妨害（DoS）攻撃を受ける可能性のある脆弱性
対象となる家電はルームエアコン、IHヒーター、冷蔵庫、炊飯器等々、非常に多岐に渡りました。
こうした脆弱性には不正アクセスを受けてしまう、悪質サイトへ誘導されてしまう（クロスサイトスクリプティング）等の危険性があります。

本件ではメーカーが迅速に脆弱性公開ポリシーを策定・公開 [3] し、ポリシーと情報公開プロセスに基づいて脆弱性情報の公表をしたことで大きな騒動には至りませんでした。

脆弱性情報とパッチ（修正プログラム）を提供するだけではなく、対策が行えない場合の軽減策や回避策等、具体的な情報を公開していました。

三菱電機は自社製品・サービスのセキュリティ品質の維持向上に対応すべく、PSIRT（Product Security Incident Response Team）という体制を構築していたためこのような対応が取れましたが、こうした取り組みが出来るメーカーは国内ではまだまだ多いとは言えないのが実情です。

②トイレ操作アプリの脆弱性によりトイレが遠隔操作されてしまう（2013年）

2013年8月、LIXILのAndroid向けアプリケーション「My SATIS Genius Toilet」にて脆弱性が発見されました。

LIXILのトイレ「SATIS」は、Bluetooth接続を介したリモート操作による蓋の開閉、ビデ操作、温風操作などが可能なものでした。それ自体は便利な機能と言えるものでしたが、問題はBluetooth接続が行える距離に接近してトイレにアクセスすれば、誰でも遠隔からト​​イレを制御できるようになっていたことです。

つまり、第三者に悪用されることで
・何度も水が流されることにより、多額の水道料金や電気料金の請求が来てしまう
・使用者のトイレ使用を妨害、あるいは不快感を与える
といったことが可能な状態にありました。

こうした脆弱性は利用者に金銭の搾取や精神的な苦痛・不快感、あるいはプライバシー情報の流出といった被害をもたらします。

③ECサイト過負荷によりスマート家電が利用できなくなってしまう（2020年）

コロナ禍が猛威をふるい始めた2020年4月、家電メーカーのSHARPは自社マスクの製造・販売を開始しました。当時、悪質な転売目的の買い占めや粗悪品の流通により慢性的なマスク不足に陥っており、申込み開始と同時に注文が殺到しました。

注文にはSHARPの専用ECサイトへ登録・アクセスする必要がありましたが、このユーザ管理用サイトがスマート家電のログイン管理も兼ねていたようで、スマホ等からのスマート家電操作がしばらく利用できなくなりました。

上記は少々特殊な事例ですが、その他にもスマート家電を管理するAWSやGoogle Cloudの障害でスマート家電が停止する事例は複数発生しています。身近なところで言えばご自宅で利用しているインターネット回線やプロバイダの障害でも同じことが発生しうるでしょう。場合によってはDDoSなどの攻撃を受ける可能性もあります。

真夏や真冬などにエアコンの操作ができない事態に陥ると、場合によっては健康に影響が出る恐れすらあります。

２．スマート家電の脆弱性がもたらす影響を最小限にするためには

上項でご紹介した通り、我々はスマート家電によってもたらされた利便性を日々享受していますが、一方で知らず知らずのうちに様々なリスクを抱えています。

では、ユーザはスマート家電の利用にあたってどのようにセキュリティについて取り組んでいくことが望ましいでしょうか？

メーカー自体の信頼性や安心感を考慮した上で購入するメーカーを絞る、という考え方もありますが、脆弱性が発覚・利用されるスピードが増している昨今では、何かしらの脆弱性はあるものと考えておくべきです。

どのような製品を利用するにせよ、リスクを低減するための取り組みを、可能な範囲で実施することが重要となります。ユーザ側で出来る一般的な対策をご紹介します。

①ファームウェアの自動更新を有効にする

ファームウェアを適切に更新することで既知の脆弱性を狙った攻撃を回避することが出来ます。

最近の製品であれば、ファームウェアの自動更新機能が含まれているものが殆どですので、自動更新は必ず有効にしておきましょう。自動更新機能がなければ、メーカー提供の脆弱性パッチや最新ファームを適宜適用するようにしてください。（メーカー側にユーザ登録が必要なケースもあります。）

②不要な機能を停止あるいは無効化する

使用しない機能やサービスがセキュリティホールになるというのは、セキュリティ事故の典型的な事象です。使わない機能は停止あるいは無効化しておきましょう。

③管理パスワードの複雑性を高めるか、多要素認証を利用する

管理画面がある製品では、ログイン時に用いる認証情報（ID/PW）を紛失したり、第三者に提供しないように注意しましょう。

古いIoT機器の中にはパスワードに設定できる文字種が制限されていたり文字数が少ないものなどがあります。そういった製品はある意味寿命と考えて新しい機器に取り替える事もご検討ください。

また、パスワードは
・英数記号などの文字種を複数含む
・文字数を14文字以上などの長いものにする
としましょう。漏洩しやすい生年月日や簡単な文字列（111111 等）を設定することはやめましょう。また、複数の機器に同じパスワードを設定するのも危険です。

可能であれば多要素認証も利用することを推奨いたします。多要素認証とは、その名の通り複数の要素から認証を行うことを指し、パスワードに加え指紋認証やショートメッセージ等を使用したワンタイムパスワードなどが用いられます。

④不要なユーザーアカウントを削除する

複数のアカウントが作れる製品の場合、使用しないユーザーアカウントは削除しましょう。使用していないアカウントが侵害され、情報の流出や外部への不正アクセスへの踏み台として利用される危険性があります。

特に初期状態からデフォルトで登録されている管理アカウントがある場合にはご注意ください。ユーザを変更するか、少なくともパスワードを更新することをおすすめします。

⑤物理的な侵害や破壊への対策を講じる

俗にいうところのハッキングは、インターネットをはじめとしたネットワーク経由での電子的な攻撃のみであるとは限りません。スマート家電を含むIoTデバイスは、その性質上第三者が物理的に接触・操作しやすいため、不必要な接触は極力行えないように対策を施しましょう。

例）①スマート金庫を物理的に区切られた部屋に設置・施錠する
　　②監視カメラを容易に手が届かない場所に設置する

とはいえ家電ですので、物理的に全く近づけないことには、利用そのものが行えないことになります。故に、必要な人・必要な時にのみ利用できるようにする、ということが基本的な考え方になります。

⑥使わない時には電源を切る

海外では通信機能を持つコーヒーポットから大量のスパムメールが配信される、という事例がありました。

使用しないときに電源を切っておく、というのはその機器が侵害されないための取り組みだけでなく、第三者に被害を与えないためにも重要です。

ただし、電源を切っていた場合ファームウェアの取得とアップデートが行われません。スタンバイモードが搭載されており、定期的なアップデートが行われるのであれば問題ありませんが、そうではない場合は定期的に電源を入れるなどして、インターネットに接続しファームウェアの更新を行うようにしましょう。

まとめ

スマート家電はインターネットに接続するという利用形態からも、PCやスマートフォンと同様、セキュリティに注意を払う必要があります。既にご利用のスマート家電がある方は、ファームウェアが最新かどうかのチェックをしてみることをおすすめします。またこれからスマート家電のご利用を考えられている方は、本稿でご紹介したような対策を意識しながら検討されると良いでしょう。

※本記事は、株式会社セキュアベース様からご提供いただいた2022年10月7日付のレポート
　『スマート家電の脆弱性と消費者としての対策の考え方』をもとに当社で再構成したものです。

<参考文献>
[1] 総務省, "令和3年度情報通信白書", ICT分野の主要製品・サービスの市場規模, 2021, 
https://www.jnsa.org/result/incident/2018.html ,（参照 2022-10-07）.
[2] 三菱電機株式会社, "製品セキュリティーへの取組", 
https://www.mitsubishielectric.co.jp/psirt/index.html , （参照 2022-10-07）.
[3] 三菱電機株式会社, "脆弱性公開ポリシー", 
https://www.mitsubishielectric.co.jp/psirt/disclosurepolicy/index.html, （参照 2022-10-07）.