「変なホテル舞浜 東京ベイ」の客室に設置されていたロボット「Tapia」に、不正操作につながる脆弱性が存在していたことが明らかになりました。変なホテルを運営するH.I.S.ホテルホールディングスとTapiaの開発元であるMJIは10月17日、セキュリティを強化する旨を発表しましたが、一連のプロセスから考えさせられることは多そうです。
家電製品やクルマ、センサーを組み込んだ建物そのものなど、あらゆるモノがネットにつながり、互いにデータをやりとりするIoT時代が本格的に到来しようとしています。それ自体は歓迎すべきことですが、IoT機器やシステムにおける基本的なセキュリティ対策の不備が原因となって、思いもよらぬリスクが浮上しているのも事実です。
この連載ではインターネットの普及期から今までPCやITの世界で起こった、あるいは現在進行中のさまざまな事件から得られた教訓を、IoTの世界に生かすという観点で、対策のヒントを紹介していきたいと思います。
Tapiaは、Androidを搭載し、音声で操作できるコミュニケーションロボットです。変なホテルではコンシェルジュの役割を果たし、宿泊客向けに交通情報や天気などを教えてくれますが、NFC(近距離無線通信)経由で設定画面にアクセスできる脆弱性がありました。ここから任意のアプリをインストールすることで、遠隔から映像や音声を取得できてしまう恐れがあり、開発元は修正に向けた手を打ったと説明しています。
既に報じられている通り、Tapiaの脆弱性が公になったきっかけは、変なホテルの宿泊客だったLance R. Vickと名乗るセキュリティエンジニアによるTwitterへの投稿でした。その投稿では、管理画面を表示させたTapiaの画像とともに「90日間の猶予期間を与えたが、ベンダーは対応してくれなかったため公開した」という記述がありました。
H.I.S.ホテルホールディングスによると、確かにこの投稿の約90日前に当たる7月6日、脆弱性を指摘するメールが宿泊客から届いていたそうです。しかし同社は「報奨金を目的とした不審なメールとして受け止め、コンタクトを回避」していました。
同社の説明では、届いたメールの内容は確かに脆弱性に関する指摘だったものの具体性がなく、「自分は専門家なので連絡してほしい、対応などがない場合は90日という期限で公開する」というものだったそうです。このうち、「90日という期限で公開する」という部分を問題視し、顧問弁護士に相談した上で回答を保留したと説明しています。
同社は並行してMJIに連絡し、以下の対策を8月の時点で取ったそうです。
しかしNFC機能に起因する問題など、修正されていない脆弱性情報が公開されるという、残念な事態になってしまいました。
良かれと思って脆弱性を指摘したセキュリティ技術者と、どのように情報を受け止め、対処すべきかが分からない企業のすれ違いは、2000年前後にITの世界で繰り返されてきました。この問題が今、IoT機器を巡って再び繰り返されているように思います。
Copyright © ITmedia, Inc. All Rights Reserved.
Special
PR