スマートホームは、家の中の多くの点で利便性を高めますが、同時に、データのセキュリティに関する問題など、新たな技術的問題も数多く生み出します。
スマートホーム ソリューションの市場は、大きく 2 つのグループに分かれています。
- 1 つには、認定された職人によって恒久的に設置される制御システムが含まれます。
- もう一方のグループには、専門家でなくても簡単に改造でき、単純な照明やサーモスタットをスマートデバイスに変えることができる、さまざまなメーカーのコンポーネントが含まれています。
後者のデバイスには、ほとんどのユーザーが購入時に考慮しない様々な問題点があります。この短いガイドでは、まず購入前にリスクを最小限に抑える方法、次に既存のデバイスの弱点を見つけて修正する方法を説明します。
さらに読む:ホームネットワークを安全に保つ方法:賢いコツと設定
クラウドを使わざるを得ない?クラウドをやめるのがベスト
多くのメーカーは、デバイスをどこからでも操作できる唯一の方法であるため、ユーザーにデバイスのインターネット接続を義務付けています。例えば、中国メーカーのXiaomi(Mi Lampと扇風機)のデバイスは、スマートフォンアプリ経由でのみ操作できます(デバイス本体のスイッチを使用する場合は別ですが、そのためにスマートホームは必要ありません)。
残念ながら、アプリを設定して、Alex や Google Home などの音声アシスタントを使用することが必須です。
Open VAS (Kali Linux にも含まれています) は、ローカル ネットワークとすべてのデバイスの脆弱性と構成エラーを分析します。
IDG
そのため、セキュリティ保護されていない、めったに更新されないウェブカメラのおかげで、Shodan 検索エンジンを使用して他の人の部屋を簡単に覗き見できることも驚くには当たりません。
購入前にレビューを読み、クラウド利用への強迫観念に注意することをお勧めします。自宅内では、このようなことは必要ないはずです。
Raspbee や Conbee などの代替ブリッジを使用すると、クラウドなしでも制御が可能です (デバイスに互換性がある場合)。
そして、機能が本当に必要かどうかを常に自問する必要があります。暖房や換気のための便利な温度制御を探している場合、スマートフォン経由で建物に近づいていることを認識する機能は必ずしも必要ではありません(これはインターネット経由で接続することによってのみ実現できます)。
ここで言うセキュリティリスクとは、自社ネットワーク内のデータのセキュリティだけではありません。ネットワーク内で乗っ取られたデバイスがボットネットに属している場合、それらのデバイスは使用できなくなり、法的な問題も発生します。
Shodan検索エンジンは驚くべき結果を生み出します。セキュリティが不十分なウェブカメラは、他人の家を覗き見させてしまうことがよくあります。
IDG
Wi-Fi?接続の問題
セキュリティリスクは、適切なハードウェアとその接続方法を選択することで最小限に抑えることができます。一見すると、Wi-Fiに接続するデバイスは便利そうに見えます。設定には通常アプリが必要ですが、これはデバイスにネットワークキーを保存するためだけに使用されます。
ただし、Wi-Fi を使用すると、デバイスは攻撃者がワイヤレス ネットワークに対して使用するすべての攻撃にさらされることになります。
メーカーはデバイスの説明において、利便性とセットアップの容易さのみを強調し、使用されている規格については伏せておく傾向にあります。Zigbeeなどの異なる規格に準拠したデバイスは、自宅のWi-Fiに接続する無数のデバイスを家中に設置するよりも優れています。
ヒント:どうしてもWi-Fi接続が必要な場合(ランプやラジエーターコントローラーを既に購入済みの場合など)、これらのコンポーネントを別のネットワークに分離することができます。例えば、Fritzboxには、これらのデバイスに使用できる「ゲストネットワーク」が別途用意されています。
ルータの弱点
自宅内のIoTデバイスのセキュリティ強化を図る上で、ルーターを常に最優先に考えるべきです。ルーターには、通常、最大の脆弱性が潜んでいるからです。
これには、一度試しに作成したものの忘れてしまったポート認証も含まれます。ポート共有に加えて、攻撃者に特に頻繁に悪用されるプロトコルにも注意が必要です。例えば、UPnP(ユニバーサル プラグ アンド プレイ)などが挙げられます。
UPnPは、ネットワーク内のデバイスが互いを見つけ、接続を確立することを容易にします。しかし、デバイス(およびそのファームウェア)が独自にポート共有を設定できる場合、このシンプルなプロトコルが外部からもアクセス可能になる可能性が考えられます。そうなると、ボットにとって格好の標的となってしまいます。
ネットワークを強化するための最善の戦略は、常にブラックリストから始めることです。機能に絶対に必要のないデバイスへの外部接続はすべてオフにしてください。つまり、不要なものはすべてオフにする必要があります。
独自のプラットフォームを通じた透明性
どのメーカーも、デバイスを制御するために個別のアプリを推奨しています。デバイスの数が多い場合、これは長期的にはスマートでも便利でもありません。AppleのHomeKitやGoogle Home、Alexaは、潜在的な脆弱性に対処できなくなるという代償を払って、この問題を解決しようとしています。
セキュリティを重視する専門知識を持つユーザーは、Open HAB、Domoticz、iobroker などのアプリケーションを使用して、保守が容易で、透明性が高く、デバイス間のプロセスも可能にするカスタマイズされた環境を構築できます。
脆弱性を検出して修正する
Open VAS などのツールは通常、見つかった脆弱性に対して一意の CVE 番号を提供するため、これを使用してパッチや解決策を検索できます。
IDG
使用しているデバイスやシステムの潜在的な脆弱性を知りたい場合は、セキュリティソリューションが必要です。Greenbone社が商用ラベルで販売しているOpen VAS(「Open Vulnerability Assessment System」)は、そのような脆弱性スキャナーの一つです。
Docker経由またはソースコードからシステムにインストールできます。あるいは、スキャナーが搭載されている有名なKali Linuxディストリビューションを使用することもできます。
スキャンには多少時間がかかりますが、最後には既存の脆弱性を把握するための包括的でグラフィカルなレポートが表示されます。各脆弱性には固有のCVE番号が付与されます。これにより、潜在的な被害状況を把握したり、インターネットでパッチを検索したりすることができます。
一方、ネットワーク内で進行中の攻撃の試みや異常の可能性を検出することはより困難です。そのためには、データパケットをスキャンし、潜在的な問題を指摘するツールが必要です。
第二に、結果を正しく解釈するには、プロトコルとネットワークトラフィックに関する知識が必要です。例えばKali Linuxでは、高い評価を得ているSuricataプログラムをインストールできます。しかし、実際の作業はインストール後に始まります。これはこの記事の範囲外です。
この記事はもともと当社の姉妹誌 PC-WELT に掲載され、ドイツ語から翻訳およびローカライズされました。
