近年、IoTデバイスの種類が増えるとともに、IoTデバイスの購入を検討する消費者も増えています。Avastが実施した調査*によると、アメリカ人、イギリス人、スペイン人が最も欲しがるIoTデバイスはAmazon AlexaやGoogle Homeなどのスマートスピーカーということがわかりました。その一方、ブラジル、チェコ、デンマーク、フランス、ロシアではスマートウォッチと答えた人が一番多く、アルゼンチンおよびメキシコで最も多かったのはスマートサーモスタットでした。

アバストのシニアセキュリティリサーチャーであるMartin Hronは、今年のホリデーシーズンにスマートデバイスを購入しようと思っている消費者のために、以下のアドバイスを提供しています。

• 価格を比較しましょう: 他のブランドの製品と価格を比較しましょう。競合製品より大幅に価格が低い場合は、その理由を考え、デバイスの品質を少し掘り下げる必要があります。
• ブランドを確認してください：さほど認知されていないブランドの場合は、デバイスを販売しているベンダーを調べた上で、ベンダーのウェブサイトに記載されているデバイス情報を確認しましょう。技術仕様、今後のソフトウェア・ファームウェアアップデートのスケジュール、最後のソフトウェア・ファームウェアアップデートのタイミング、製造元が提供するカスタマーサポートのレベルなど詳細を確認することが重要です。
• ウェブサイトのデザインを注意深く確認してください：URLにはhttpまたはhttpsが使用されていますか？セキュリティ意識の高い企業は、エンドユーザーとウェブサイトの間の接続を暗号化するインターネットプロトコル、HTTPSを使います。これは製品自体ではなく、製品のウェブサイトのセキュリティに関わることですが、企業がセキュリティをどの程度重視しているかを示す良い指標になります。URLの頭に、httpsまたはhttpと表示されているか確認しましょう。
• 機能を確認しましょう：デバイスは、どのような情報を収集しますか？ マイクやカメラを使いますか? 収集されうる情報をよく考え、万一、個人情報が悪用された場合のリスクを考えてみましょう。さらに重要なのは、「この情報にアクセスされても良いのか？」と、データ収集自体の妥当性を問うことです。もし答えが「いいえ」なら、そのデバイスの購入を再検討した方が良いかもしれません
• CVEの詳細を確認してください：CVEはCommon Vulnerabilities and Exposures　（共通脆弱性識別子）の略語で、各種デバイスのベンダーと関連する全ての脆弱性情報をデータベース化し、一般公開しています。CVEベンダーページに記載されているデバイスの製造元を調べてください。高度なセキュリティの脆弱性に関するレポートを確認し、特定の製品の特定のバージョンを探しましょう。追加の手順として、CVEベンダーページで脆弱性が見つかった日付と、ベンダーまたは製造元によってソフトウェア・ファームウェアが更新された日付を比較します。これにより、ベンダーやメーカーが既知の脆弱性をどれだけ迅速に修正しているかが分かるのです。
• 評判を確認しましょう：製品のユーザーレビューを読みましょう。評価とダウンロード数を確認し、他のユーザーがその製品を評価しているかどうか、また問題が発生していないかどうかを確認しましょう。肯定的なレビューと否定的なレビューの両方を見て、筋が通ったことが書かれた本物のレビューなのか、もしくは、一言だけで4つ星か5つ星をつけている偽レビューか見極めましょう。
• 設定プロセスを確認しましょう：製品の設定について調べ、セキュリティに関する記述があるか確認してください。特に重要なのは、ユーザーが初期のパスワードを複雑なものに変更するよう案内があるか、確認することです。もし単にデバイスの電源を入れることだけ案内しており、セキュリティや保護に言及していなければ、そのデバイスは危険かもしれません。
• IoTデバイスは非常に便利で楽しいものである一方、多くの人が、どれほど脆弱であるかに気付いていません。ハッカーはたった一つの脆弱なデバイスから、ホームネットワーク全体にアクセスできてしまいます。今年のホリデーシーズンにIoTデバイスをプレゼントする前に、適切な下調べを行って、大切な人が個人データの盗難や金銭的損失、プライバシー侵害のリスクにさらされないようにしましょう。

IoTデバイスのセキュリティ確保

続いて、Martin Hron氏は、IoTデバイスを購入した後のセキュリティ対策についてアドバイスをしています。デバイスには強力なセキュリティを確保することが重要です。デバイスを贈る場合、以下の手順で、受け取る人のセキュリティを守りましょう。

• デバイスの初期パスワードを不正利用されにくいものに変更しましょう。多くのデバイスにはデフォルトのログイン情報がついてきますが、そのほとんどはデバイスのユーザーマニュアルに記載されているため、オンラインでも入手可能です。強力なパスワードは、少なくとも12文字 (理想的には16文字以上) で、覚えやすいものです。また、パスワードは書き留めないようにしましょう。文章として暗記できるパスワードを作成しても良いでしょう。
• デバイスを接続するルータも同様です。新しいデバイスを追加するタイミングでルータのパスワードも同時に変更すると良いでしょう。可能であれば、二要素認証にしましょう。
• デバイスのソフトウェアまたはファームウェアの更新を確認し、最新版をすぐにインストールしましょう。更新をすることで、デバイスは最適なパフォーマンスと高度なセキュリティで動作し続けます。