スマートホームデバイスは、日々の多くの作業を効率化してくれます。インターネット接続と簡単な自動化機能があれば、家の鍵を持ち歩いたり、照明を消したり、サーモスタットに触れたりする必要がなくなるかもしれません。しかし、こうした便利さには潜在的な代償が伴います。スマートテクノロジーはサイバー攻撃者による攻撃に対して脆弱であり、個人データやプライバシーが危険にさらされる可能性があるのです。

スマートホームを安全に保つために知っておくべきことをご紹介します。

あなたのスマートホームは安全ですか?

簡単に答えると、デフォルトではそうではありません。スマートホームには、デバイス自体からホームネットワーク、そしてスマートフォンなどのIoT（モノのインターネット）にアクセスし、それを制御できる物理的なエンドポイントまで、複数のレベルで脆弱性が存在します。

まず、IoTデバイスには、セキュリティプロトコルが脆弱な場合や、工場出荷時の設定からロックダウンするための明確な手順が不足している場合があり、ハッカーにとって脆弱な状態になっています。ハッカーは、ほとんど手間をかけずにデータにアクセスしたり、スパイ行為を働いたりする可能性があります。Wi-Fiルーターやスマートホームデバイスは、デフォルトの認証情報が公開されている場合が多く、簡単に侵入されてしまいます。また、データによると、大多数のユーザーはルーターの管理者パスワードを変更したことも、工場出荷時の設定を調整したこともありません。ホームネットワークが安全でなければ、そこに接続されているものも安全とは言えません。

スマートデバイスはボットネットに統合される可能性があり、脅威アクターはホームネットワークを利用してアカウント乗っ取りやマルウェア拡散といった悪意のある活動を行う可能性があります。最近の例としては、中国製の非正規家電製品を標的とした「BADBOX 2.0」と呼ばれるキャンペーンが挙げられます。

電子フロンティア財団（EFF）の上級スタッフテクノロジスト、ビル・バディントン氏は、デジタル格差によって一部の消費者のリスクが増大する可能性があると指摘する。こうした消費者は、アマゾンのような大手企業に比べてセキュリティが弱く、脆弱性が明らかになったとしても評判の面で失うものがはるかに少ない、低価格メーカーの安価なデバイスを求める可能性があるという。

最後に、物理デバイスが悪意のある人物の手に渡ると、セキュリティが侵害される可能性があります。例えば、スマートフォンのアプリを使ってスマートホームを制御している場合、そのスマートフォンが紛失、盗難、またはハッキングされた際に、脅威アクターがアクセスできてしまう可能性があります。

スマートホームはプライバシーを侵害する可能性がある

スマートホームデバイスは、セキュリティ対策を怠ると、プライバシー（ひいては安全）を危険にさらす可能性があります。ベビーモニターからペットカメラまで、インターネットに接続されたカメラはハッキングの脅威にさらされており、攻撃者はそれらを利用してあなたとあなたの家を監視する可能性があります。具体的には、あなたの行動を盗み見したり追跡したり、デバイスから機密性の高い個人情報を収集するための「ショルダーサーフィン」、プライベートな活動の音声と動画を録画したり、ダークウェブでライブフィードを共有または販売したりする可能性があります。（2018年に発生した特に憂慮すべき事件では、ハッカーがNestブランドのベビーモニターを通じて生後4か月の乳児に口頭で脅迫したと報じられています。）

スマートテクノロジーは、通常の動作中にあなたに関する多くの情報を収集している可能性があり、それらはすべて悪用される可能性があります。例えば、ロボット掃除機は家の物理的な配置図を作成して活用し、どこに行くべきかを判断します。また、さまざまな自動化機能の使用パターンは、あなたの動きを追跡し、あなたが家を留守にしていることを確認するために利用されます。

スマートホームデバイスが、ユーザーが気づかないうちに、あるいは積極的に同意していない方法でデータを侵害している可能性もあります。非営利団体IMDEA Networksとノースイースタン大学が主導するセキュリティ専門家による2023年の報告書によると、IoTデバイスが意図せず個人情報を漏洩し、監視資本主義に関与する企業に収集・販売される可能性があることが示されています。研究者らは、スパイウェアアプリや広告主がローカルネットワークプロトコルを悪用して機密データにアクセスし、ユーザーのプロファイリングを容易にしていることを発見しました。

スマートホームのセキュリティ基準がない

スマートホームセキュリティにおける最大の障壁の一つは、企業が遵守すべきサイバーセキュリティ基準が統一されておらず、ユーザーがこうした情報を調査するための一元的なリソースも存在しないことです。今年初め、バイデン政権の最後の数週間に、連邦通信委員会（FCC）は、デバイスメーカーのセキュリティ向上と消費者の安心購入を促すことを目的とした、米国サイバートラストマーク自主ラベルプログラムを開始しました。しかし、トランプ政権下では、FCCは後にこのプログラムに関する調査を開始し、導入が遅れました。

今のところ、消費者は自らデューデリジェンスを行うしかありません。2017年、非営利団体Mozilla Foundationは「*Privacy Not Included」というリソースを作成しました。これは、「最低限のセキュリティ基準」に照らして評価された製品のレビューと、プライバシーに関する懸念事項の詳細を掲載しています。このサイトは昨年更新されていないようですが、Amazon、Google、Wyze、Ecobeeといった有名スマートホームメーカーのプライバシーとセキュリティに関する詳細な情報を見つけることができます。

それ以外の場合、Budington 氏は、購入を検討しているデバイス (およびそれを製造している会社) を、研究者やユーザーが懸念を報告しているかどうかを確認するために、購入する前に検索することを提案しています。

スマートホームのセキュリティを強化する方法

スマートホームのセキュリティ対策は、ルーターを介したインターネット接続のセキュリティ確保から始まります。Lifehackerでは、ホームネットワークの保護に関するガイドをまとめていますが、少なくともルーターのデフォルト設定（管理者ユーザー名、パスワード、ネットワーク名など）を、個人を特定できない固有のものに変更し、ワイヤレスセキュリティ設定で暗号化を有効にする必要があります。セキュリティ上の欠陥を修正するパッチを提供するアップデートを定期的にチェックし、ネットワークに接続されているデバイスを監査して疑わしいものを特定し、不要になったデバイスは削除しましょう。

IoTデバイス専用のゲストネットワークを設定することで、セキュリティをさらに強化できます。これにより、スマートデバイスが侵害された場合でも、プライマリネットワークに接続されているすべてのデバイス（個人アカウントや金融アカウントにアクセスできるコンピューターやスマートフォンなど）が保護されます。

バディントン氏によると、脆弱性をさらに軽減する方法の一つは、独自の無線接続を持つデバイスの数を減らし、代わりに安全な集中管理型ハブを介して接続することです。Home Assistantはセルフホスト型のオプションで、Raspberry Piや従来のPCにインストールすることも、プラグアンドプレイのHome Assistant Greenと組み合わせて使用​​することもできます。Hubitatは、デバイスデータのローカル制御も提供し、Zigbee、Z-Wave、Matter規格に対応した製品を含む、さまざまな製品と統合できます。

ネットワークのセキュリティを確保したら、各IoTデバイスでも同様の対策を講じましょう。デフォルトのユーザー名とパスワードを、それぞれ異なる安全なものに変更し、デバイス設定で二要素認証や暗号化などの利用可能なセキュリティ機能をすべて有効にしましょう。デバイス（およびデバイスを制御するアプリ）のファームウェアが自動更新されるようにしてください。

また、デバイスのプライバシー設定を確認し、動作に必須ではない権限を削除し、使用しない機能を無効にしましょう。例えば、スマートサーモスタットの位置情報追跡をオフにしたり、音声アシスタント以外のデバイスの音声操作を無効にしたりすることができます。

最後に、これまでは主にデジタル脅威に焦点を当ててきましたが、スマートホームも物理的な侵入から逃れられるわけではありません。家の外に設置されているデバイスなど、デバイスへのアクセス方法に注意し、スマートフォンやタブレット、そしてIoTデバイスを制御するアプリはPINまたは生体認証で保護するようにしてください。

インターネットに接続されたものは、本質的に、少なくともある程度は攻撃に対して脆弱であることを忘れないでください。ご自身のリスク許容度を考慮し、スマートデバイスの利便性と、それが侵害される可能性、そしてプライバシーが侵害される可能性を天秤にかける必要があります。自動化する必要のない機能もあるかもしれません。その場合は、「単純な」代替手段で対応しましょう。