Google Home、Amazon Alexaなど、スマートスピーカーの普及率が急速に高まっています。これらのデバイスによって、目覚まし時計として使ったり、音楽を聴いたり、オンラインショッピングをしたりと様々なことができます。調査会社のJuniper Researchは、2022年には55%のアメリカの家庭でこれらのスマートデバイスが使われると予測しています。これらのデバイスはとても便利ですが、使用すればするほど保有する貴重なデータも増加し、犯罪者にとって魅力的なターゲットになってしまいます。

スマートスピーカーがサイバー犯罪者のターゲットになるのは時間の問題です。これらのデバイスはユーザーが購入して、すぐに使用できるという利便性を謳っているため、デフォルトの設定に多くの弱点があります。ユーザーにとって、初期設定にわずか数分しかかからないことは魅力的ですが、その分セキュリティも弱くなってしまうことを知っておくべきでしょう。

ユーザーがどのようにスマートスピーカーの設定をするか、そして、どういったタスクをスマートスピーカーに依頼するかが、スマートスピーカーのセキュリティの観点から重要な要素となります。デバイスが安全であると信じているユーザーは多く、初期設定を変更しようと考える人はおそらく少ないでしょう。

個人メールが誰でも見えるように

スマートスピーカーの初期設定をする際に多くのユーザーがまず行うことは、デバイスをAmazon、Google (メールやカレンダーなど)、Spotifyなどの様々なアカウントとリンクすることです。この、一見無害な行動が、デバイスのセキュリティに大きな影響を与える可能性があります。

保護されたログインがない、つまり、スマートスピーカーに、「誰が」アクションを指示しているのかを確認する機能がない場合、スマートスピーカーはともかく指示に従うだけなのです。そのアカウントの所有者でなくても、個人メールを読んだり、買い物したりすることができてしまいます。つまり、本人か、家族か、侵入者か関係なく、その家にいる人は、デバイスから個人情報を引き出すことができてしまいます。

外部からのリモートアクセス

サイバー犯罪者がスマートスピーカーに指示を出す場合、デバイスの範囲内にいる必要もなければ、デバイスを直接攻撃する必要もありません。彼らは、脆弱なルーターを通してネットワークに侵入し、そこに接続されているIoTデバイスを攻撃することができます。

録音を再生できる脆弱なスマートデバイスに侵入することができれば、そのデバイスからスマートスピーカーに話しかけ、指示を出すこともできます。スマートスピーカーのセキュリティ対策が不十分だと、誰でも指示を出すことができるようになってしまうということです。

また、攻撃者はスマートスピーカーを悪用し、家に物理的にアクセスすることもできます。スマートドアロックがスピーカーに接続されている場合、窓の外からスピーカーに指示を出し、鍵を開けることもできるだけでなく、家のネットワークを攻撃し、別のデバイスを通してスマートスピーカーにドアロックの解除を命令することもできます。

未知の脆弱性

スマートスピーカーを所有する人にとって、一番の脅威は近辺の悪意のある人間ですが、その次に危険なのはスピーカーを標的とするサイバー犯罪者です。サイバー犯罪者は未知の脆弱性を悪用します。昨年、BlueBorneという脆弱性が見つかりました。これは、Bluetooth対応デバイスの範囲内にいて、ツールさえあれば、誰でもデバイスを乗っ取ることができるという脆弱性です。Alexaも、この脆弱性を悪用してハッキングできるデバイスの1つでした。こういった脆弱性の発見に何年もかかることも珍しくなく、スマートスピーカーのようなIoTデバイスに脆弱性が存在する可能性が十分にあることを示しています。

脆弱性の発見まで何年もかかった例として、昨年世間を震撼させたランサムウェアWannaCryを拡散させた原因である脆弱性、EternalBlueが挙げられます。EternalBlueは、Windows XP時代からWindows製品に存在しており、昨年WannaCryの被害が世界中に拡大したのち、EternalBlueの存在が広く知られるようになりました。これは、長い間知られていなかった脆弱性が突然サイバー犯罪者によって発見され、世間に大規模な混乱を招いたものの例です。

セキュリティとプライバシーのリスクに対する認識が重要

スマートスピーカーの数は急速に増えており、この増加に伴い、当然サイバー攻撃の可能性も増加しています。スマートスピーカーのようなIoTデバイスを増やせば増やすほど、より多くの攻撃者がそれらをターゲットにします。攻撃者にとって、スマートスピーカーのように、多くの機密・個人情報を保有し、Spotify、Amazon、eBay、メールなどのさまざまなアカウントにアクセスできるように設計されているデバイスは、特に興味深いターゲットです。

スマートスピーカーへの攻撃に利用される可能性のある未知の脆弱性は、見つかるのか見つからないのかさえ、今の時点ではわかりません。スマートデバイスの使用が増えるほど、攻撃者にとってより価値の高い標的ができるため、攻撃者もそのデバイスを調べあげ、それによって脆弱性が発見されるリスクも高まります。スマートスピーカーを攻撃された後に対策を考えるのではなく、ユーザーは自らスピーカーに提供している情報を意識し、重要な情報が攻撃者の手に入ってしまった場合どのようなことが起こりうるかをあらかじめ考えておく必要があります。

我々は、スマートスピーカーを含むスマートデバイスのセキュリティリスクに関する認識を高める必要があると考えています。ユーザーは、「初期設定をそのまま使用する」ことを選択する場合、どういった情報をスマートスピーカーにつなげるかに関して十分注意を払わなければなりません。

個人情報を含む場合、悪用されると困るものを含む場合は、必ず設定を変えてください。スマートスピーカーを含むIoTデバイスは、ユーザーの安全を配慮したがために排除されたり、衰退するべきものではありません。そのために、ユーザー側のネットワーク上でアクセス可能な個人情報に対する認知の向上、そして情報セキュリティ体制を強化することが重要です。

Text by : マーティン・フロン(Martin Hron)、Avast 脅威研究所 リサーチャー

スマートスピーカーに限らない

ここのところ、スマートスピーカーだけでなく、IoTデバイス全般に対してセキュリティ上の懸念が高まっています。IoTデバイスの大半は常にインターネット接続した状態で運用されますが、初期状態のまま(あるいは簡単な設定をしただけで)、使い続けるケースが多いのです。

これの何が問題かというと、IoTデバイスが抱えるセキュリティ上の脆弱性が放置状態になりやすいことです。自分が知らない間に、悪意ある第三者にIoTデバイスが乗っ取られているかもしれません。例えば、多くのネットワークカメラで、映像が誰でも見られる状態だったという報道は、覚えのある人もいるでしょう。また、IoTデバイスが乗っ取られたとしても、パソコン環境のようなセキュリティ対策ソフトがあるわけではないので、非常に気付きにくいのです。IoTデバイスが乗っ取られると、そのデバイスの種類にもよりますが、個人情報の漏えいや、さらなる犯罪の「踏み台」にされる危険性があります。

さらに近年、家庭向けルーター製品の脆弱性がクローズアップされることが増えました。インターネットへの入り口であるルーターが攻撃を受けたり、乗っ取られたりすると、そのルーターにつながっている機器すべてが危険にさらされます。ルーターは常に最新の状態を保ち、IoTデバイスのメーカーが発信するセキュリティ情報もチェックを欠かさないようにしましょう。場合によっては、ルーターもIoTデバイスも、買い替えが必須となることもあり得ます。セキュリティ意識を高めて、IoTデバイスをより便利に使いたいものです。
(マイナビニュース編集部 : 林利明)