Yahoo!ニュース

スマート家電がスパイツールへ変貌するリスク。不審な動作をユーザーは殆ど気付くことが出来ない。

大元隆志CISOアドバイザー
スマート家電は、リッチな機能を提供可能だが、セキュリティ対策を施しにくい(写真:アフロ)

 先日、寄稿した「AlexaとGoogle Homeをスマートスパイに変化させる脆弱性。盗聴やパスワード盗難に応用可能」という記事は、残念ながらそれほど閲覧数は伸びなかった。筆者の力不足も有るだろうが、海外のセキュリティニュースサイトではかなり取り上げられており話題になっていた脆弱性で有ったが、日本では、殆ど話題になっていないように見受けられた。

 欧米と比較して、スマートスピーカーがそれ程普及していないというのも理由の一つかもしれない。しかし、AlexaとGoogle Homeを題材とした、本件は、今後スマート家電を利用していくうえで、メーカー、ユーザーそれぞれにとって様々な課題を示唆していると、筆者は考えている。

■アプリの追加や不正アクセスで、スマートスパイ化

 録音機能や録画機能を持つスマート家電は数多く存在する。こういったスマート家電を不正に利用することで、盗撮行為を行ったり、今回の報道のように、不正な目的のアプリを追加してしまうことで、スマートスパイ化するリスクが存在する。

■常に電源が供給されており、インターネットに接続されている

 スマート家電の大半は、インターネット、もしくは家庭内のネットワークに接続されており、常時電源が供給され、待機状態に有り、何らかの指示が有れば自動的に起動するのが一般的だ。更に、家族の姿が見渡せる場所、家族の声が届く範囲に設置されていることが多い。

 ある意味、盗聴・盗撮行為を行う最高の条件を揃えた機器と考えることが出来るだろう。

■セキュリテイ対策ソフトウェアが存在しない

 AlexaやGoogle Homeはアプリを追加することで機能追加を行うことが出来るのが特徴だが、不審なアプリのインストールをブロックする、セキュリテイ対策ソリューションが存在しない。今回のスマートスパイの脆弱性は、不審な動作をするアプリケーションがGoogle等の審査をパスしてしまったというのが本質的な問題で有る。そして、その審査をパスされてしまうと、ユーザ側では、ほぼ無防備な状態になってしまう。

 これは、AlexaやGoogle Homeに限った話ではなく、スマート家電全体に共通する課題だ。

 PC等では、マルウェア対策用のアプリケーション等を別途インストールすることで、不正な動作をブロックすることが出来るが、スマート家電用には殆ど提供されていない。

■盗聴発見器は意味が無い

 当たり前の話だが、盗聴・盗撮行為を目的として仕掛ける盗聴器と異なり、スマート家電の大半はユーザ自身が購入した物だから、設置されているのが正しい状態で有り、隠されているわけでも無い。盗聴器発見器を仕掛けても意味が無い。

■UIがシンプルなため、不審な動作に気づかない

 スマート家電の多くは、PCのようにリッチなディスプレイ等を実装していない。音声に反応するスマートスピーカで有れば、マイクとスピーカーしかユーザと対話するインターフェースが提供されていないことが多いし、モニタがあっても時計を表示するなど必要最低限の情報を提供するのみで有る。スマートスピーカーはまだ良い方で、電気やエアコン、調理器具等で有れば、もっと情報を表示するエリアは少なくなるだろう。

 こういった必要最低限のUIのセキュリテイ上の懸念点は、ユーザが不審な動作を気付く手段を奪うことだ。スマートスピーカーの例で言えば、アプリが停止していないにも関わらず、偽のアナウンスを音声で流し、アプリが停止したかのように装い、実は盗聴モードで動作していた。

 UIが音声インターフェースしか無いため、「停止しました」とアナウンスが流れれば、ユーザーは、本当に停止したのか、動作中なのか知ることが出来ない。

 もし、PCで不審なメールがフィッシングサイトへ誘導しようとしていると、気づこうとすれば、メールの送信元ドメインを確認したり、URLを確認することが出来る。PCは多くの情報を確認可能であるため、ユーザ自身のリテラシーが高ければ、ある程度は表示されている情報から、フィッシングサイトへの誘導なのかどうか?を探ることが出来る。ところが、スマート家電の多くは、ユーザに与えられる情報は極僅かで有る。

 アプリが起動しました、停止しましたと喋れば、それを信じるしか無いのである。例えそれが、本来の目的とかけ離れた、怪しい動作であったとしても。

■対策するのは意外と難しい

 家族の姿が見える位置、声の届く位置に設置され、常に電源が供給されていて、かつインターネットに接続されている。こんな好条件のスパイ行為を行える家電が、無防備な状態で放置されていたら?サイバー攻撃者が狙わない理由は無いだろう。そして、もし狙われてしまったら、プライバシーを脅かす新たな脅威に成り得るだろう。

 しかし、スマート家電の懸念を、今回発見されたスマート家電のスマートスパイ化を題材に考えてみたが、ユーザー自身のリテラシーだけで、このようなスマートスパイアプリから身を守るのは、非常に難しいと言わざるを得ない。ファームウェアを定期的にアップデートするといった対策や、メーカー自体が、登録アプリの審査を強化するといった対策を取る必要が有るだろう。

■現時点ではDNSを利用した対策が有効な手段の一つ

 ちなみに、筆者の家庭は、アカマイ社のETPと呼ばれる、DNSを利用した標的型対策ソリューションでスマート家電を保護しているので、Alexaやビエラ、ホットクックといったスマート家電が発する通信が、万が一サイバー攻撃者と通信しようと試みた場合には、DNSレベルでブロック出来る。マルウェア対策アプリのインストール出来ない、スマート家電に対してETPのようなDNSを利用した保護ソリューションは、有効な手段の一つになるだろう。

 ETPの例は、現在世の中に提供されているサイバー攻撃対策ソリューションとして、これなら、部分的に対策が可能ではないか?という点で取り上げたが、ETPだけでは不正なアプリをインストールする行為をブロックすることは出来ない。スマート家電に対して、これを使えば完璧というセキュリテイ対策ソリューションが存在しないのが実態で有る。

 スマート家電に対してどういった攻撃が予想されるか?どういった悪用が懸念されるのか?まだまだスマート家電は、利便性もセキュリテイ課題も、世の中に十分浸透しているとは言えない状況で有る。しかし、機能面は進化し続けており、悪意を持つ攻撃者の標的になるには十分な条件を備えてきた。

 スマート家電を提供するメーカー、ユーザー共に、スマート家電をいかに安全に利用するか?は、今後より一層の議論と、対策、啓蒙が必要な領域となるだろう。

CISOアドバイザー

通信事業者用スパムメール対策、VoIP脆弱性診断等の経験を経て、現在は企業セキュリティの現状課題分析から対策ソリューションの検討、セキュリティトレーニング等企業経営におけるセキュリティ業務を幅広く支援。 ITやセキュリティの知識が無い人にセキュリティのリスクを解りやすく伝えます。 受賞歴:アカマイ社 ゼロトラストセキュリティアワード、マカフィー社 CASBパートナーオブ・ザ・イヤー等。所有資格:CISM、CISA、CDPSE、AWS SA Pro、CCSK、個人情報保護監査人、シニアモバイルシステムコンサルタント。書籍:『ビッグデータ・アナリティクス時代の日本企業の挑戦』など著書多数。

大元隆志の最近の記事