これは、モノのインターネット時代と同じくらい古い話です。エコバックス社製のロボット掃除機が、同社のソフトウェアが侵入に対して脆弱であることが判明した後、人々の家を歩き回り、内蔵スピーカーから汚い言葉を叫んでいると報告されています。
オーストラリアのABCニュースは、エコバックス社の掃除機の所有者が、機器が異常に動作していることに気付いたという事例が最近米国全土で複数あったと報じています。
「それは途切れた無線信号か何かのようでした」と、エコバックス・ディーボットX2の所有者であるダニエル・スウェンソン氏は同メディアに語りました。「おそらく声の断片が聞こえました。」彼は掃除機のモバイル アプリを開くと、見知らぬ人がライブ カメラ フィードとリモート コントロール機能にアクセスしていることに気付きましたが、エラーかもしれないと考えました。パスワードをリセットして X2 を再起動すると、掃除機はすぐに再び動き始めました。
今回は、スピーカーから何が聞こえたのかはっきりしました。スウェンソン氏の息子の目の前で、人種差別的な卑猥な言葉を大声ではっきりと叫ぶ声が聞こえました。
「クソ野郎ども」と、声は何度も何度も叫びました。
おそらくこの逸話の一番の部分は、状況は「もっと悪かったかもしれない」というスウェンソン氏の信じられない結論です。しかし、ハッカーが掃除機がハッキングされたことを知らせてくれたのは親切で、いつまでもスパイする代わりにしてくれたのは良かった、という彼の意見は正しいです。
いわゆる「スマート」ホームデバイスに関して人々が抱える最も一般的な問題は、コア機能にアクセスするにはソフトウェアのサブスクリプションが必要になることが多く、メーカーが倒産したりデバイスのサポートを停止したりすると、デバイスは単なる文鎮になってしまうことです。
さらに厄介な問題は、スマートデバイスがリモートアクセス可能で、メーカーがこれを利用して詐欺師が自宅にいる人々を苦しめる可能性をまったく考慮していなかった(または気にしていなかった)場合に発生します。リモートアクセスは便利ですが、侵入者がベビーモニターにアクセスして夜間にささやき声を上げたり、ガレージのドアにアクセスして所有者を困らせたりするなど、数年に一度はとんでもないことが起こります。多くの場合、これらの侵入者の目的はただのいたずらです。しかし、誰にも知られずにこのようなことが何回起こっているのか不思議に思うでしょう。
問題は、こうしたスマートホーム企業のほとんどが消費者向けハードウェアを販売しており、セキュリティにあまり投資したくない、あるいは投資する気がないことです。家電製品にとってセキュリティは後回しにされるものです。Amazon では数十種類のロボット掃除機から 1 つを購入できますが、ほとんどの人は一番安いものが欲しいだけです。つまり、基本的なセキュリティ対策を講じていない企業です。
そして、ここでは「基本」が妥当であるように思われます。ABC は、Ecovacs アカウントはパスワードで保護されており、ビデオ フィードにアクセスするにはさらに 4 桁の PIN コードが必要ですが、その PIN コードはサーバー側で検証されていないことを発見しました。つまり、Chrome Web インスペクターなどのツールの基本的な知識を持つ人なら誰でもそれを回避できるということです。Swenson が他のサービスの認証情報を再利用していた可能性はありますが (確かなことはわかりません)、PIN コードはいずれにしてもアクセスを防ぐ追加の要素であるべきでした。最低限、Ecovacs が実際に行う必要があるのは、ビデオ フィードを開く前にサーバー上で基本的な「真の場合」の検証だけです。
Ecovacs は、2023 年に研究者から Deebot X2 の脆弱性について知らされていたが、最近まで対策を講じていなかったという。同社は、11 月にさらに本格的なセキュリティ アップデートをリリ��ースする予定だと述べている。
ましてや掃除機の話をしているのに、おかしな話に聞こえるかもしれないが、ロボット掃除機を購入する場合は、必ず製品のセキュリティ対策を調べておくべきだ。