ESETは1月3日(現地時間)、「Could your favorite speech-to-text app be a privacy risk?」において、音声認識および音声変換アプリの危険性と予防策について伝えた。近年、AI技術が発展したこともあり、音声認識や音声変換の精度が向上し、音声関連のアプリケーションの普及が進んでいる。ESETはこれら音声アプリにはセキュリティとプライバシの懸念が存在すると指摘している。
音声認識や音声変換アプリが抱えるリスクとは
音声認識や音声変換アプリの音声機能はアプリの開発会社が開発するか、またはサードパーティの提供するサービスが組み込まれている。これら音声機能がどのように音声を収集し、取り扱うかは基本的にこれら開発会社が決めている。
また、多くのアプリは必要性の有無に関係なく位置情報、連絡先、プライベートな情報などデバイス上のさまざまなデータを収集する。これら情報が適切に保管され保護されているか、無断で第三者に提供されていないかは、ユーザーが確認することはできないためリスクとなる。
ESETは上記以外にもこれらアプリには次のようなリスクが存在するとしている。
- 悪意のあるアプリ - 脅威アクタは人気のアプリに偽装した悪意のあるアプリを配布してマルウェアの感染を広げようとする。音声関連アプリの普及が進むと、悪意のある音声関連アプリの配布が行われる可能性がある
- 情報盗難 - 収集された音声データが流出した場合、ディープフェイクの学習データとして悪用され、サイバー攻撃の武器に利用される可能性がある。この場合、親族や会社関係者への詐欺、脅迫に利用されることが想定される
音声認識や音声変換アプリが抱えるリスクに対する予防策
ESETはこのようなリスクを軽減するために、次のような予防策を講じることを推奨している。
信頼できるプラットフォームを使用
EU一般データ保護規則(GDPR: General Data Protection Regulation)や業界のベストプラクティスを遵守する検証済みのサービスプロバイダーの製品を使用する。製品は公式のアプリストアから入手し、攻撃者が配布している可能性のあるアプリは入手しない。
サービスプロバイダーの調査
サービスプロバイダーが公開しているプライバシポリシーを調査し、データをどのように保管、保護しているか、第三者と共有する可能性はあるのか、誰がアクセスできるのか、通信を含めデータは暗号化されているのかを調べる。また、データ保持ポリシーを調査して、ユーザーの要求に応じてデータを削除できるのかも調査する。
機密情報の共有を避ける
認証情報や個人情報などの機密情報を音声アプリに入力することは避ける。
アップデートする
アプリの最新のセキュリティアップデートを適用する。アプリに存在する脆弱性を悪用されないように、アプリは常に最新の状態に保つ
音声認識はユーザのテキスト入力の負担を軽減し、音声による機器の操作を可能にする。また、障害のある人を支援するなど活用の幅は広がりを見せているが、同時に上記のようなリスクも存在している。このようなリスクを軽減し、ユーザーを保護するために、音声関連のアプリを開発する企業には高度なセキュリティの実現と透明性の高いプライバシーの保護が望まれている。