ハッカーがコンピューターをクラックしようとするという考えには慣れていますが、今日では、テレビ、自動車、電話、家電製品は、Wi-Fi、Bluetooth、RFID、携帯電話、GPS などのテクノロジーを使用して接続されるようになり、ますます脆弱になっています。
接続性の向上は利便性とコミュニケーションの面で大きな恩恵をもたらしてきたが、不吉な裏側も現れている。現実世界のオブジェクトがハッキング可能になり、その中には現実世界に恐ろしい結果をもたらす可能性のあるものもある。
ハッカーはあなたの車のロックを解除し、エンジンをかけることさえできます。財布に触れることなく、あなたのそばを通り過ぎるだけでクレジットカードを盗むこともできます。命を救うインスリンポンプを乗っ取り、使用者に悪用することも可能です。ここでは、悪者があなたやあなたの周りのあらゆるものをハッキングするために使用できるテクノロジーをいくつかご紹介します。
ATMスキマー
ATM スキマーは、ATM に密かに取り付けられ、銀行カードの磁気ストライプを読み取って記録し、そのデータを犯罪者に渡すようにプログラムされた不正なデバイスです。
従来のATMスキマーは、カードスロットが異常に大きく見えたり、改ざんされているように見えたりすることが一般的でしたが、新型スキマーの検知ははるかに困難です。スキマーは非常に薄くなっており、犯罪者は近所のATM、食料品店のセルフレジ、ガソリンスタンドのカードスロットに直接スキマーを挿入しても、カードが通過できるスペースが残ってしまうため、専門家だけがスキマーの侵入に気付く可能性が高いのです。
クレジットカードやデビットカードの磁気ストライプに記録された情報は、カードの暗証番号がなければ役に立ちません。最も高度なスロット内スキマーでさえ、暗証番号を解読することはできません。しかし、犯罪者は透明なゴム製のオーバーレイをATMのキーパッドに貼り付け、被害者の暗証番号を記録しています。ATMスキマーや暗証番号レコーダーは、顧客の銀行口座から資金が消失する前に検知するのが非常に困難です。
戦争に関するテキストメッセージ
「戦時テキストメッセージ」という言葉は、気が散りやすい兵士が戦場で小休止を挟んで行うようなもののように聞こえるかもしれないが、実際には、広く普及している GSM (Global System for Mobile Communications) 携帯電話ネットワークに接続されたハードウェアを乗っ取るプロセスを指している。
監視カメラ、ホームオートメーションシステム、そして自動車は、無線によるファームウェアアップデートにGSM電話回線を利用することがよくあります。GSMはこれらのシステムのアップデートをはるかに便利にしますが、同時に外部からの攻撃に対して脆弱でもあります。
昨年、ラスベガスで開催されたブラックハット セキュリティ カンファレンスで、iSec Partners のセキュリティ コンサルタントであるドン・ベイリー氏とマシュー・ソルニック氏は、スバル アウトバックのドアのロックを解除し、エンジンを始動するという方法で、戦争テキストメッセージの脅威を実証しました。すべてリモート操作で実行されました。
ベイリー氏は、彼とソルニック氏が車とネットワークの間の無線メッセージを傍受し、彼のラップトップからメッセージを再現する方法を解明するのに約2時間を要したと述べた。
パワーパウン
もう一つの差し迫った脅威は、不正なカメレオンデバイスです。見た目が奇妙でも場違いでもないため、被害者が気付かない危険な装置です。
例えば、Power Pwnは、典型的なオフィス用サージプロテクターのように見えますが、巧妙な技術が隠されています。Power Pwnは、国防総省の秘密かつ実験的な研究開発機関であるDARPAの資金提供を受けて、Pwnie Express社によって開発されました。
Power Pwn には、高利得、拡張範囲 Wi-Fi、1000 フィート範囲の Bluetooth、および 3G が組み込まれており、攻撃者との継続的な秘密接続を維持しながら、ネットワーク セキュリティとファイアウォールをバイパスするように設計されています。
製品のメーカーであるPwnie Expressは、Power Pwnはネットワークの脆弱性をテストする企業向けツールとして開発されていると述べているが、1300ドルあれば誰でも購入できる。企業ネットワーク上の情報の価値の高さを考えると、Power Pwnの価格が犯罪者の手に渡らない保証はほとんどない。
無線周波数識別(RFID)
RFID チップは、個人の医療情報を含む ID カード、車のキーホルダー、米国のパスポート、ペット、電子ドアロック、クレジットカードなど、取り付けられた物体に関する情報を含む小さなデバイスです。
RFID チップの主な目的は、デジタル情報を非デジタルのものに埋め込み、その物体の追跡や通信を容易にすることです。
一部の RFID チップはバッテリーを必要とせず、近くの受信機から電磁的に電力を供給されます。
しかし、関連する RFID チップを持つものはすべてハッキングされる可能性があります。また、このようなチップの価格は 1 個あたり 0.07 ドルと非常に安いため、今後は RFID がさらに多くのものに搭載されることは間違いありません。
今年初め、ハッカー中心のセキュリティカンファレンス「ShmooCon」で、セキュリティ研究者のカースティン・パジェット氏が、RFID搭載クレジットカードがいかに簡単にハッキングされるかを実演しました。パジェット氏は約350ドル相当の機器を使い、自身のクレジットカードのRFIDデータを無線でコピーし、それを未使用のカードに複製した後、Squareのカードリーダーを使って簡単に自分自身に支払いを行いました。パジェット氏はこのハッキングを「恥ずかしいほど簡単」と表現しました。
知識のある人が簡単に RFID を複製できるということは、個人データ、ドアのロック、またはその他のセキュリティ目的でこの技術を使用している人にとっては警戒すべきことです。
全地球測位システム(GPS)
GPS自体は安全な技術ですが、スマートフォンに内蔵されているGPSは問題を引き起こす可能性があります。アプリ開発者は、単に緯度と経度の座標を特定するだけでなく、様々な方法でGPSを利用しています。例えば、FourSquareのようなアプリは、ユーザーの社会的な習慣や支出傾向を追跡するためにGPSを利用しており、ユーザーがアプリ上で「チェックイン」することで、自分がどこにいるかを共有できるようにしています。
しかし、位置情報アプリの開発者は、API(アプリケーション プログラミング インターフェイス)をサードパーティに提供することが多く、関心のある外部の人による悪用される危険性が高まっています。
まさにこれが4月に起きた出来事です。「Girls Around Me」というアプリです。FourSquareとFacebookのAPIを組み合わせることで、Girls Around Meアプリは近くにいる女性の位置情報、写真、さらには名前まで、誰でも閲覧できるようになっています。
この状況で最も気がかりなのは、既存の法律の下では、Girls Around Meの開発者が個人情報をユーザーに公開する行為はすべて完全に合法だったということだ。現実世界で直接行われた場合、ストーカー行為として懸念されるようなレベルの侵入的なデータ収集は、容易に入手可能なデジタル情報を巧妙に収集したに過ぎなかった。
ハッキング可能なインスリンポンプ
スマート デバイス脅威インテリジェンス センターのディレクターであり、常にインスリン ポンプを使用している 1 型糖尿病患者のジェイ ラドクリフ氏は、メドトロニック製のワイヤレス インスリン ポンプがハッキングされ、不正な信号によって乗っ取られる可能性があることを発見しました。
最大800メートル離れた場所から、ハッカーがポンプを乗っ取り、何も知らない糖尿病患者に致死量のインスリンを注入する可能性があります。このような事態が発生する可能性は極めて低いですが、その影響は深刻です。少なくとも、このシナリオは、冷酷な犯罪の首謀者と、それ以外は厳重に警備された糖尿病患者を描いたジェームズ・ボンド映画のプロット装置を彷彿とさせます。
テクノロジーは私たちの生活において、悪影響よりもはるかに多くの恩恵をもたらしていますが、危険な側面も持ち合わせています。世界がテクノロジーによってますます繋がるにつれ、犯罪者やハッカーは、私たちが日常生活で頼りにしているテクノロジーを悪用する方法をますます多く見つけ出すことはほぼ確実です。
最善のアドバイスは、デバイスの動作に注意を払うことです。変化に気づいたら、ハッキングの可能性があります。銀行はスキミングやクレジットカード詐欺を発見する手段として、ハッキングを利用することがよくあります。FBIの「Scams & Safety(詐欺と安全)」ウェブサイトなどのリソースも活用し、オンラインとオフラインの両方で様々な脅威から身を守るための情報を入手しましょう。
もちろん、テクノロジーの安全性とセキュリティに関する最新のニュースや情報については、PCWorld をご覧ください。
