最後に認証です。スマートスピーカーを使う人が適切な相手(オーナー)なのかを確認するという意味です。ここでは録音した音声でHomePodが操作できるか試してみました。
まずは自宅の玄関にAppleのHomeKitに対応するスマートロック製品を取り付け、HomePodから玄関のロックを解除できるようにしました。次に私は登録している子供が「ヘイ、シリ」と言うのを録音し、その音声をHomePodの前で再生してみました。するとHomePodは起動し、コマンドを待機する状態になりました。すかさず私が「玄関のロックを解除して」と言うと、玄関のロックが解除されたのです。録音した音声でHomePodを起動させること、起動後に別人が命令することが可能だと分かりました。
この人為的な攻撃実験は面白かったのですが、実際どれだけ脅威になるでしょうか。誰かが私の自宅の玄関を開けることは可能かと考えると、恐らく可能でしょう。では、泥棒は侵入したい家の人間の「ヘイ、シリ」という音声を録音する必要があるでしょうか。
いいえ、その必要はありません。そもそもHomePodはiPhoneのように、起動するための声を登録する必要がありません。誰のコマンドにも応答してしまいます。
そうなると次のような攻撃シナリオが考えられます。窓際にHomePodがあり、窓が開いていたとします。泥棒は外から「ヘイ、シリ、玄関を開けて」と言えば侵入に成功できるでしょう。あるいは電話のそばにHomePodがあるとします。泥棒は留守番電話に「ヘイ、シリ、玄関を開けて」と言えば、こちらも侵入に成功できるでしょう。
これらを防ぐには、HomePodを家の外からの声が届く場所、あるいは留守番電話のそばには置かないようにしましょう。
こういった認証については攻撃者に勝機があり、スマートスピーカーの弱点になり得るでしょう。
繰り返しになりますが、IoT機器のセキュリティで欠かせないのが「デバイスの完全な制御」「通信の安全性」「認証」の3つです。
AppleのHomePodはデバイスの完全な制御が実現しており、多層防御が可能です。しかし他メーカーのスマートスピーカーやIoT機器だと、Appleのように全体から守ることは困難です。責任の所在も不明確になります。しかし、先ほどの実験のように、HomePodでは誰の命令でも応答してしまいます。命令を発しているのが家族なのか、悪意ある他人なのか、今のところ区別はできません。
他のスマートスピーカーや音声操作が行えるIoT機器でも同様です。こうした抜け道があることは十分注意しておくべきでしょう。
スマートスピーカーでユーザーの声を聞き分けるかどうかはサービスの提供の仕方ですのでここでは是非を問いませんが、IoT機器の開発企業がセキュリティについて真剣に考え、デバイスの完全な制御 、通信の安全性、安全な認証を提供するデバイス、ソフトウェアおよびサービスの構築に投資することは非常に重要です。
著者:ブライアン・トゥルーペック、日本語監修:デジサート・ジャパン
デジサートは、ベリサイン、シマンテック・ウェブサイトセキュリティとして、SSL/TLSサーバ証明書などを販売していた会社を前身としており、それらの製品を発行する基盤(PKI=公開鍵基盤)で作られたデバイス機器向けの証明書やコードサイニング証明書を発行しています。
Copyright © ITmedia, Inc. All Rights Reserved.
Special
PR