ITmedia NEWS > 社会とIT >
セキュリティ・ホットトピックス

他人の声で自宅を解錠できる? Apple「HomePod」で試してみた スマートスピーカーがIoTの弱点になるかIoT時代のセキュリティ絶対防衛ライン(3/3 ページ)

» 2019年02月26日 07時00分 公開
前のページへ 1|2|3       

認証:他人の声でスマートスピーカーに命令することは可能か?

 最後に認証です。スマートスピーカーを使う人が適切な相手(オーナー)なのかを確認するという意味です。ここでは録音した音声でHomePodが操作できるか試してみました。

photo (写真はイメージです)

 まずは自宅の玄関にAppleのHomeKitに対応するスマートロック製品を取り付け、HomePodから玄関のロックを解除できるようにしました。次に私は登録している子供が「ヘイ、シリ」と言うのを録音し、その音声をHomePodの前で再生してみました。するとHomePodは起動し、コマンドを待機する状態になりました。すかさず私が「玄関のロックを解除して」と言うと、玄関のロックが解除されたのです。録音した音声でHomePodを起動させること、起動後に別人が命令することが可能だと分かりました。

 この人為的な攻撃実験は面白かったのですが、実際どれだけ脅威になるでしょうか。誰かが私の自宅の玄関を開けることは可能かと考えると、恐らく可能でしょう。では、泥棒は侵入したい家の人間の「ヘイ、シリ」という音声を録音する必要があるでしょうか。

 いいえ、その必要はありません。そもそもHomePodはiPhoneのように、起動するための声を登録する必要がありません。誰のコマンドにも応答してしまいます。

 そうなると次のような攻撃シナリオが考えられます。窓際にHomePodがあり、窓が開いていたとします。泥棒は外から「ヘイ、シリ、玄関を開けて」と言えば侵入に成功できるでしょう。あるいは電話のそばにHomePodがあるとします。泥棒は留守番電話に「ヘイ、シリ、玄関を開けて」と言えば、こちらも侵入に成功できるでしょう。

 これらを防ぐには、HomePodを家の外からの声が届く場所、あるいは留守番電話のそばには置かないようにしましょう。

 こういった認証については攻撃者に勝機があり、スマートスピーカーの弱点になり得るでしょう。

IoT機器はデバイスの完全な制御、通信の安全性、認証がセキュリティの3本柱

 繰り返しになりますが、IoT機器のセキュリティで欠かせないのが「デバイスの完全な制御」「通信の安全性」「認証」の3つです。

 AppleのHomePodはデバイスの完全な制御が実現しており、多層防御が可能です。しかし他メーカーのスマートスピーカーやIoT機器だと、Appleのように全体から守ることは困難です。責任の所在も不明確になります。しかし、先ほどの実験のように、HomePodでは誰の命令でも応答してしまいます。命令を発しているのが家族なのか、悪意ある他人なのか、今のところ区別はできません。

 他のスマートスピーカーや音声操作が行えるIoT機器でも同様です。こうした抜け道があることは十分注意しておくべきでしょう。

 スマートスピーカーでユーザーの声を聞き分けるかどうかはサービスの提供の仕方ですのでここでは是非を問いませんが、IoT機器の開発企業がセキュリティについて真剣に考え、デバイスの完全な制御 、通信の安全性、安全な認証を提供するデバイス、ソフトウェアおよびサービスの構築に投資することは非常に重要です。

著者:ブライアン・トゥルーペック、日本語監修:デジサート・ジャパン

デジサートは、ベリサイン、シマンテック・ウェブサイトセキュリティとして、SSL/TLSサーバ証明書などを販売していた会社を前身としており、それらの製品を発行する基盤(PKI=公開鍵基盤)で作られたデバイス機器向けの証明書やコードサイニング証明書を発行しています。


前のページへ 1|2|3       

Copyright © ITmedia, Inc. All Rights Reserved.