スマート家電は、人々の生活や娯楽をより便利なものにしますが、家庭にあるテレビには危険が潜んでいることをご存知ですか?あるニュース報道によると、2019年ハッカーがGoogle製のストリーミングデバイスとスマートテレビに攻撃を仕掛けました。ハッカーは、ユニバーサルプラグアンドプレイ(UPnP)プロトコルを使用してテレビのマスターコントロールを取得し、このプロトコルを介して、ネットワーク内のさまざまなデバイスを使用する権利を取得し、リモートで操作できるようになってしまいました。関連する機密情報は、デバイスが接続しているWi-Fiネットワーク、ネットワークに接続していた時間、ペアリングされたBluetoothデバイス、さらには設定されていた目覚まし時計に至るまで、すべてが公開ネットワークに暴露されてしまう可能性がありました。これは、メーカーの製品にセキュリティの脆弱性があることをハッカーが警告したもので、悪意のある攻撃ではありませんでしたが、監視される恐れを人々に抱かせる事件となりました。

これより前の2016年、アメリカ人のDarren Cauthon氏は、自宅にあるスマートテレビがAndroidの悪意のあるプログラムに感染し、ロックを解除するために500ドルを支払うよう脅迫されたという事件に遭遇しました。最終的に、テレビをリセットすることで難を逃れることができました。

テレビを見ている?それともテレビに見られている?

図1:写真ソース:@darrencauthon

 

米国のFBIは、スマートフォンやノートパソコンなどのモバイルデバイスと比較して、テレビメーカーはデジタルセキュリティの重要性を無視しがちだと指摘しています。スマートテレビの内蔵カメラ、マイク、またはプライバシー関する設定が、ハッカー攻撃の標的になる可能性があるためです。外付け式のテレビボックスだけでなく、ケーブルテレビのスマートシステムもハッキングされるリスクがあります。2022年ウクライナとロシアの戦争中、あるハッカーがケーブルテレビのスマートシステムに侵入し、反戦スローガンを表示した事件がありました。

ニュース画面
図2:ニュース画面

 

個人情報をどう守る?デバイスを検査し、プライバシーとセキュリティを保証

アリオンは、スマートストリーミングデバイスを使用する際、発生しやすい問題を包括的にリストアップしており、メーカーに対し、次の3つの側面から包括的な情報セキュリティ検査を実施するよう提案しています。

 

発生しやすい問題とその対策

海賊版の音楽やビデオを視聴できるウェブサイトの閲覧する

情報セキュリティ業界の統計によると、台湾市場を例として昨年台湾の新型コロナ警戒レベル3の期間中、海賊版ウェブサイトへのアクセスが急増しました。このようなウェブサイトには、多くの不審なリンクが隠されており、OWASP IoT TOP 10に従い、工場出荷前にIoT脆弱性検査を実行します。

提供元不明未検証のアプリをダウンロードする

小さな利益に欲を出そうとする気持ちをハッカーは狙っています。無料で無制限に視聴できるアプリプログラムは、ソースを追跡できないため、ハッキングプログラムを簡単に埋め込むことができます。法律に違反するだけでなく、クレジットカード情報が流出して悪用される可能性もあるため、情報セキュリティ担当者は、サードパーティのツールを使用して抜け穴を検出し、可能性を排除することをお勧めしています。

未検証のテレビボックスを購入する

前述したように、小さな利益に欲を出すのは安物買いの銭失いとなることがよくあります. よく知らないブランドのセットトップボックスは製造元を追跡できず、組み込まれているソフトウェアに悪意のあるプログラムが隠されているかどうかを追跡できません。また、ほとんどのセットトップボックスは、初期のAndroid 4.0OSに基づいており、一般的に古いシステムバージョンにはセキュリティの脆弱性があり、その脆弱性をリアルタイムで更新および修正できないという問題があるため、以下の4項目合計16点でリスクの有無を確認する必要があります。

  1. 可用性
    1. システム更新
    2. Wi-Fi及びBluetoothのシミュレーションテスト
    3. セキュリティのフィードバック
  2. 身分識別
    1. エンジニアリングモード
    2. 決済機能識別
  3. プライバシーの暗号化
    1. ログインセキュリティ
    2. ポートを最小化
    3. データ送信
    4. 機密データへのアクセス
    5. データレコードの削除
    6. データストレージの保護
  4. セキュリティ機能
    1. OSの一般的な脆弱性
    2. 物理ポートセキュリティ
    3. 機密データの保存
    4. Wi-Fiホットスポット
    5. 内蔵ソフトウェアのセキュリティ

 

多くのユーザーが、個人情報の入力やソフトウェアのインストール後に、悪意のあるプログラムを埋め込まれて、自身のデバイスがソフトウェアによって乗っ取られたり、デバイス使用権を奪われたりして、ユーザーデータのプライバシーがオンラインの世界で危機にさらされていますが、上記の一連のテストを通じて、こうした危機を回避することができます。この記事で紹介している、スマートデバイスのリスク共有やアリオンのサービスソリューションについて、ご興味・ご質問がございましたら、お気軽にお問い合わせください。