\r\n\r\n
子供の安全を守ることは、人生の究極の目標の一つです。もちろん、私にとってはそうです。しかし、長い一日の終わりには、彼らを寝かせて、とても素敵な冷たい人と一緒に座りたいものです。赤ちゃんをお持ちの方なら、ベビーモニターをお持ちの方も多いと思います。小さな動き、小さな咳やゴホゴホという音を聞くことで、小さな子供たちが無事であることを知ることができるのです。
かつて、ベビーモニターは電波を使った音声のみのものでした。しかし、現代のベビーモニターは、オンライン、ネットワーク、あなたのスマート**を介して利用可能で、ビデオや他の "機能 "を持つのですか?ネットワーク接続されたベビーモニターの必要性、それはあなたが思っているよりも脅威なのでしょうか?
古いベビーモニターは、音だけが不安な親に与えるものです。ベビーベッドの横にモニターを置けば、その不安を解消するのに十分なフィードバックが得られます。しかし、ベビーモニターは他の技術分野と同様に進化しています。2018年ベストベビーモニター」をざっと見たところ、今はほとんどのモニターに搭載されているようです。
それ以外はすべてクラウドに保存(なぜだ!?)子守唄の内蔵、温度モニターなど。しかし、私が言いたいのは、現代のベビーモニターは、昨年のラジオオーディオ版というより、小型のメディアセンターのようなものだということです。
ここが問題なのです。ベビーモニターはインターネットに接続しており、基本的にマイクロコンピュータであるため、同じような問題が多く発生します。
2015年に遡る過去3年間、多くのベビーモニター製品に脆弱性の指摘がありました。以下は、脆弱なベビーモニターの主な3つの例です。
中国**のMi-Camデバイスのユーザー数は約5万人です。しかし、2018年2月、オーストリアのセキュリティ企業SEC C○ultが、これらの機器に一連の脆弱性を発見したのです。
攻撃者はプロキシサーバー経由でアクセスし、カメラのパスワードを単純に回避していました。また、別の脆弱性により、端末と**マーチャントのクラウドサーバー間のライブビデオストリームを傍受する中間者としての役割を果たすことができました。
一方、研究チームは端末を分解してファームウェアを抽出し、研究ブログによると、「非常に弱い4桁のデフォルト認証情報」を発見したそうです。
2016年当時、ニューヨークの消費者庁には、ベビーモニターがハッカーに狙われているという報告が複数寄せられていました。これらのモニターは、赤ちゃんに向かって大声で叫んだり、威嚇的になじったり、威圧的で怖い音を再生するために使用されました。
連邦取引委員会は、ニューヨークDCAの調査に基づいて、5種類のベビーモニターを調査した。その結果、セキュリティパスワードが必要なモニターは1台のみで、2台は全く暗号化されていないことがわかりました。3つは、一度入力に失敗すると何度もパスワードを推測することができ、ブルートフォースアタックに弱いという特徴があります。
連邦取引委員会の調査結果は、スラムダンクのようなものではありません。セキュリティ企業のRapid 7社が、9台のWi-Fi対応ベビーモニターをテストした結果、同様の脆弱性を発見しました。その結果、「各カメラには、ハードコーディングされていたり、簡単にアクセスできないため、消費者が変更できないアカウントが隠されている」ことがわかりました。管理用にせよ、サポート用にせよ、部外者が裏口からカメラにアクセスできるようにする。"
これは特にベビーモニターというわけではありませんが、脆弱なインターネット接続型カメラへの入り口となるロシアのウェブサイトを通じて、かなりの部分にアクセスすることが可能です。
iSecamのユーザーは、ピーク時には約73,000のウェブカメラストリームを利用することができました。このサイトでは、IoTデバイスの検索エンジンであるShodanからウェブカメラのIPアドレスを抽出し、これらのストリームを誰でも利用できるようにします。
当然ながら、このサイトには懸念が寄せられています。サイトの所有者は、「無防備なカメラで誰かの私生活を侵害しない」ようにフィルターを追加しています。また、メールで苦情を受けたため、現在は「私的なカメラや不道徳なカメラ」を削除しています。
最近のWi-Fi対応ベビーモニターも、他の機器と同じようにセキュリティが甘く、攻撃を受けやすい。特にIoT(Internet of Things)の脆弱性ギャップを考えると、なおさらです。セキュリティ専門家がIoTデバイスに非常に慎重であるのには、それなりの理由があります。セキュリティのカスタマイズオプションがないものが多い。
つまり、デバイスを保護するパスワードを直接制御することはできません。つまり、ベビーモニターのセキュリティは、インターネット接続のセキュリティに依存することになるのです。Insecamのウェブサイトが示すように、何千台ものカメラやベビーモニターには、暗号化などのセキュリティ機能はおろか、最も基本的なパスワード保護機能さえもありません。
デバイスのデフォルトセキュリティのもう一つの問題は、何千ものプリインストールされたパスワードを含むリストが利用可能であることです。デバイスのデフォルト設定をクロスチェックするには、ほんの少し時間がかかります。
イスラエルのベングリオン大学ネゲヴ校の研究者は、デバイスがデフォルトの設定を強制的に使用させるだけでなく、これらの設定が複数のデバイスで統一されている場合があることを発見しました。これは、「0000」や「1234」といったショッキングな4桁の暗証番号を使用する「**商人」の傾向を考えると、まったく不思議なことではありません。
セキュリティとサイドチャネル攻撃の実装に関するベングリオン研究所の上級講師であるYossi Oren博士は、「犯罪者や盗撮犯、小児性愛者がこれらの機器を簡単に乗っ取れるのは恐ろしいことです」と述べ、「私たちの研究所では、これらの機器を使って、ベビーモニターを通過させることができます。大音量で音楽を再生する、サーモスタットをオフにする、遠隔でカメラをオンにする、我々の研究者はこれらの製品の使用について非常に懸念しています。"
Oren博士はまた、"ほとんどのデバイスのパスワードを見つけるのに30分しかかからず、中にはそのブランドをググらなければ見つからないものもあった "と付け加えている。
本当に安全なベビーモニターを見つけるには、次のような方法があります。
この3つのポイントは、ベビーモニターを確実に使用するために欠かせないものです。しかし、その中でも1番重要なのは、1番です。ベビーモニターのパスワードを変更できないなら、絶対に勝てない。また、これはすべてのIoTデバイスに適用されます。
セキュリティ設定にアクセスできないのであれば、セキュリティのコントロールができないことになり、それだけでも不利になります。
写真提供:tiagoz/photo