Iphone

テクノロジー業界のパスワード問題が、Ringのセキュリティカメラのハッキングで現実のものとなった

テクノロジー業界のパスワード問題が、Ringのセキュリティカメラのハッキングで現実のものとなった

クリストファー・バッド

リングフォト

家庭用の Ring 防犯カメラをめぐる一連の注目を集めたハッキン​​グ事件を受けて、自宅のセキュリティを高めるために購入したデバイスが全く逆の効果をもたらしていることに気付いた人もいる。つまり、部外者がほとんど努力なしにデバイスを乗っ取ることで、セキュリティが低下し、危険にさらされ、侵害されたと感じるようになったのだ。

ホリデーショッピングシーズンの真っ只中、人々はこのようなデバイスを吟味しています。だからこそ、情報に基づいた決断をするために、実際に何が起こっているのかを理解しておきましょう。

テクノロジー業界の視点から何が起こっているかを理解することも良いことです。デバイスメーカーにとって、あらゆる企業、特にスタートアップ企業から、こうした問題がどのように発生し、どのように予防できるのかを学ぶことができます。

一言で言えば、業界のパスワードへの依存がまさにそのツケを払うことになった。

アマゾンの子会社であるリングの声明には、この事件について知っておくべきことがすべて記載されている。

最近、悪意のある攻撃者がRingユーザーのアカウント認証情報(ユーザー名やパスワードなど)をRing以外の外部サービスから入手し、それを再利用して複数のRingアカウントにログインしていたというインシデントが確認されました。残念ながら、同じユーザー名とパスワードを複数のサービスで使い回すと、悪意のある攻撃者が複数のアカウントにアクセスできてしまう可能性があります。

この声明は、Google が 2019 年 4 月に同社の Nest デバイスに発生したほぼ同一の問題に応じて発表した声明とほぼ同じです。

これらの発言がこれほど似ているのは、根本的な原因が同じだからです。つまり、使いやすさを優先して、これらのデバイスはデフォルトでパスワードに依存しているのです。しかし実際には、人々はパスワードを頻繁に使い回しています。デバイスの設定について言えば、パスワードマネージャーはほぼ使いにくく、フルサイズのキーボード以外で強力なパスワードを入力することは現実的ではありません。パスワードとIoTデバイスについて言えば、パスワードの使い回しや脆弱なパスワードの使用につながる悪循環に陥っています。

データ侵害が容易に蔓延する時代において、パスワードを一度でも再利用すると、侵害されている可能性があります。haveibeenpwnd.com にアクセスして、自分で確認してください。

多くの企業がアカウントサポートの負担軽減を図るため、メールアドレスをログイン情報として利用しようとしたことで、この問題はさらに深刻化しています。攻撃者はログイン情報とパスワードの両方を入手できるため、侵害されたパスワードの使用がさらに容易になります。

功績として、RingとNestはどちらも2要素認証(2FA)オプションを提供しています。しかし、「家族の技術サポート」を担当した経験のある人なら誰でも、技術に詳しくない人に2FAをうまく使いこなしてもらうのがいかに難しいかを知っているでしょう。

Ring 屋内用セキュリティカメラ。(Amazon Photo)

セキュリティの世界では、二要素認証が合理的な対策として既に機能しなくなってきていることが分かっています。ますます多くの組織が多要素認証(MFA)に移行しています。もしご両親に二要素認証を使ってもらうのが難しいと感じたなら、現在実装されているMFAを使ってもらうように努力してみてください。

これは実際的に何を意味するのでしょうか?つまり、購入者が複数の使用不可能で実現不可能なセキュリティオプションの中から選択を迫られる限り、このようなハッキングは続くということです。

しかし、企業、特にスタートアップ企業にとっては、家庭内の IoT デバイスのセキュリティの現状がまったく許容できないものであることを認識し、使いやすさと優れたセキュリティ対策を組み合わせた新しいソリューションを考案するチャンスがあります。

この問題が解決されるまで、このような状況は家庭内での IoT デバイスの導入の障壁となり続けるでしょう。

一方、ホリデーショッピングに関しても、メッセージは同様に明確です。ご自身やご家族のためにこれらのデバイスをお求めなら、時間と労力を費やして、可能な限り強力なセキュリティ対策を学び、実装する覚悟が必要です。

Ring の功績として、同社のデバイスに 2FA を実装する方法に関する情報は、ここで簡単に見つかります。

残念ながら、GoogleはNestの2FA情報を簡単に見つけられるようにしていませんが、NestアカウントをGoogleアカウントに移行しています。Googleアカウントのセキュリティ保護方法については、Googleの2FAページをご確認ください。

結局のところ、2020 年近くのテクノロジーが 1960 年のセキュリティ対策に依存していると、このようなことが起こるのです。

12月16日月曜日更新: Ringは新しいセキュリティ機能を導入すると発表しましたが、それがどのようなものになるかはまだ明らかにしていません。