最初にハッキングされたのは浄水器ではなく、スマート冷蔵庫だった。午前3時、画面に表示されていた家族カレンダーが消去され、0.5ビットコインを要求する拙い英語のメッセージに置き換えられた。製氷機は氷を床にばら撒き始めた。内部のライトがサイレントアラームのように点滅した。相互接続された便利な機器群である私のスマートホームは、自宅のキッチンで人質状態と化した。

慌ててサイバーセキュリティの専門家に電話し、高額な費用を払ってようやく家電を取り戻せました。しかし、彼の最後の質問は、床に落ちた氷よりもさらに深い寒気を背筋に走らせました。「同じネットワークに接続している浄水器はお持ちですか？」

そうしました。すると突然、私の最大の恐怖は汚れた水から別の種類の毒、つまりデジタル妨害へと変わったのです。

Wi-Fiのセキュリティを確保し、ノートパソコンをアップデートし、フィッシングメールには警戒しています。しかし、生命維持に不可欠な資源である水を直接、物理的に制御するデバイスを、平気でネットワークに接続してしまうのです。しかも、そのセキュリティは子供のおもちゃほどにも堅牢でないことがほとんどです。ハッキングされた浄水器は、単なる壊れた家電製品ではなく、最も親密なレベルでの侵害です。

「デジタル冷蔵庫」の脆弱性：空気清浄機の攻撃対象領域

サイバーセキュリティの専門家がホワイトボードに類似点を描いてくれました。冷蔵庫と同じように、高級な「スマート」浄水器はプラスチックのケースに入ったネットワーク化されたコンピューターです。その攻撃対象領域は広範です。

• 脆弱なアプリ/クラウド ポータル: アプリ/クラウド ポータルを制御したりデータを表示したりするためのログインは、多くの場合、単純なパスワードで保護されており、場合によってはデフォルトのパスワードで保護されていることもあります。
• 古くてパッチ適用できないファームウェア：ほとんどの浄水器は「fire and forget（一度設定すれば放っておく）」タイプです。メーカーは出荷後、セキュリティアップデートを一切リリースしない可能性があります。
• 永続的なデータストリーム：使用状況データ、フィルターの状態、診断情報をメーカーのサーバーに常に送信しています。これは、家庭内の習慣に関するデータ漏洩の危険性をはらんでいます。
• 物理制御バルブ：これが最も恐ろしい部分です。ソレノイドとバルブが備わっており、水の流れをオン/オフしたり、システムのフラッシュを開始したりできます。

悪意のある者の手に渡れば、これは単なる理論上のリスクではなく、危害をもたらす青写真となる。

想像を絶するシナリオ：迷惑行為から悪夢へ

抽象的な「データ侵害」を超えて、具体的で現実的な攻撃について考えてみましょう。

1. ランサムウェアによるロックアウト：最も起こり得るシナリオです。浄水器のインターフェースがランサムウェアによってロックされます。画面またはアプリにメッセージが表示され、機能を回復するために支払いを要求されます。フィルターの状態を確認したり、洗浄サイクルを実行したりすることができなくなり、極端な場合にはシステムが水の供給を拒否し、水分補給が人質に取られることもあります。
2. 「フィルター詐欺」詐欺：ハッカーがシステムのレポートにアクセスします。ハッカーは、すべてのフィルターとRO膜が深刻な故障を起こしているという警告を偽装し、高額な偽造部品を販売する偽の（または悪意のある）店舗へのリンクを付けて、直ちに交換するよう促します。ハッカーは、ユーザーがデバイスを信頼していることを悪用し、詐欺を働きます。
3. システム破壊行為：スクリプトまたは攻撃者が破損したファームウェアコマンドを送信し、制御ボードを永久に破壊します。マザーボード全体の交換費用を支払うまで、マシンは水漏れする文鎮のように機能しなくなります。
4. 物理的な妨害（最悪のケース）：より深い場所へのアクセスを持つ攻撃者は、理論的には、システムのフラッシュバルブとパージバルブを不規則に開閉させることが可能です。これにより、ウォーターハンマー（圧力の急上昇）が発生する可能性があります。ウォーターハンマーは、継手を破裂させ、キャビネットや壁の内部に浸水を引き起こす可能性があります。これは水を汚染するものではなく、機器を兵器化して家を汚染するものです。

7ポイントのデジタル水セキュリティプロトコル

冷蔵庫の件の後、私はこのプロトコルをインターネットに接続されたすべての家電製品、特に空気清浄機に導入しました。あなたもぜひ実践してみてください。

1. ゲストネットワークに隔離する：IoTデバイス専用のWi-Fiネットワーク（最新のルーターならほとんどがこれに対応しています）を作成します。空気清浄機、照明、冷蔵庫などはここに設置します。ノートパソコン、スマートフォン、仕事用のデバイスはメインネットワークに残しておきます。ゲストネットワークへの侵入は阻止されます。
2. デフォルト設定を一掃：浄水器アプリとウェブポータルのデフォルトのユーザー名とパスワードを、強力で固有のパスフレーズに変更しましょう。パスワードマネージャーを活用しましょう。
3. アプリの権限を監査する：空気清浄機のモバイルアプリで、動作に必要のない権限（位置情報、連絡先など）をすべて拒否します。Wi-Fiが必要です。ないあなたがどこにいるかを知る必要があります。
4. 可能であればリモートアクセスを無効にする：アプリはどこからでも操作できますか？自宅でのみ使用する場合は、「ローカルネットワークのみ」モードがあるかどうかを確認してください。
5. 物理的な「Wi-Fiキルスイッチ」の有無を確認しましょう。一部のモデルには、Wi-Fiを無効にする小さなボタンが付いています。スマート機能を毎日使用しない場合は、Wi-Fiを恒久的にオフにしましょう。スマート機能のない空気清浄機は安全な空気清浄機です。フィルター交換のリマインダーをカレンダーに手動で設定しましょう。
6. ネットワークを監視する：シンプルなネットワークスキャンツール（Fingなど）を使って、自宅のネットワークに接続されているデバイスを確認します。見覚えのないデバイスを見つけた場合は、調査しましょう。
7. 購入前に、難しい質問をしましょう。「スマート」空気清浄機を検討しているなら、メーカーのサポートにメールで問い合わせてみましょう。「脆弱性開示ポリシーはどのようなものですか？接続デバイスのセキュリティパッチはどのくらいの頻度でリリースしていますか？」と質問しましょう。答えがないのが正解です。