「変なホテル舞浜」の卵型ロボ「Tapia」に脆弱性 不正操作が可能な状況 Twitter上の指摘で発覚
「変なホテル舞浜 東京ベイ」の全100室に設置中の卵型コミュニケーションロボット「Tapia」に脆弱性が発見。悪意のある宿泊者がプログラムに攻撃を加えると、不正に操作できる状況だったという。Twitter上の指摘で発覚した。調査の結果、同ロボットに不正なプログラムが仕掛けられた形跡はなかった。
ロボットが接客するホテルチェーン「変なホテル」を運営するH.I.S.ホテルホールディングス(HD)は10月17日、「変なホテル舞浜 東京ベイ」(千葉県浦安市)の全100室に設置していた卵型コミュニケーションロボット「Tapia」に脆弱(ぜいじゃく)性が見つかったと発表した。悪意のある宿泊者がプログラムに攻撃を加えると、不正操作できる状況だったという。
H.I.S.ホテルHDは調査の結果、同ロボットに不正なプログラムが仕掛けられた形跡はなかったとしている。セキュリティー対策強化も済ませたという。
数日前にTwitter上で指摘
Tapiaの脆弱性を巡っては、「Lance R. Vick」と名乗る宿泊客が10月12日に、「変なホテルのロボット『Tapia』(のプログラム)を書き換えると、他の客の映像や音声を取得し、遠隔地から任意のタイミングで視聴できる」とTwitterに投稿。ツイートには、端末管理画面が表示されたTapiaの画像と共に、「90日間の猶予期間を与えたが、ベンダーは対応してくれなかった」といった内容も記されており、真偽が注目されていた。
H.I.S.ホテルHDによると、ツイートにある通り、約90日前の7月6日にセキュリティの脆弱性を指摘するメールが宿泊客から届いていたという。これを受け、同社とTapiaの開発元であるMJIが共同で調査したが、「不正操作を含めたリスクは極めて少ない」と判断。メールは報奨金など見返りを目的とした不審なものだと結論付け、差出人との接触を避けたとしている。
再調査で「リスクは否定できない」
しかしその後、Twitter上で10月12日の投稿を確認したため、MJIが再調査した結果、「一部の悪意を持った宿泊者が、直接ロボットを操作することのリスクは否定できない」ことが16日に判明したという。
この結果を踏まえ、H.I.S.ホテルHDは17日、変なホテル舞浜 東京ベイの客室にあるTapiaを撤収。不正なソフトウェアやアプリケーションの有無を精査した結果、どのロボットにもインストールされていないことを確認したという。万が一に備え、同店舗の全コミュニケーションロボットに不正アクセス対策を施したとしている。
H.I.S.ホテルHDの広報担当者は「セキュリティに穴があったことは事実だが、ツイートで指摘があったように、宿泊客の映像や音声を視聴できる状況だったとは断定できない。プログラム次第では可能だったかもしれないが、調査では不正なソフトやアプリは見つからなかった」と説明した。
現時点で、ロボットの脆弱性を指摘するメールやツイートは他に届いておらず、Tapiaを設置しているのは変なホテル舞浜 東京ベイのみであるため、他の店舗の調査は行っていないという。
同社は「SNS投稿をご覧になった方や、今後ご宿泊を計画されている方に不安な気持ちを抱かせてしまいましたことを深くおわび申し上げます」とコメントしている。
ITmedia NEWS編集部は、Tapia開発元のMJIに、一般向けモデルの脆弱性の有無について質問状を送付している。回答が得られ次第お伝えする。
関連記事
- 「ルパン三世」はどうやって認証を突破した? 他人をアテにする「人脈認証」を考える
小説、漫画、アニメ、映画などの架空世界に登場する「認証的なモノ」を取り上げて解説する連載をITmediaで出張掲載。第21回のテーマは「ルパン三世」。 - 対応時間ゼロ 勝手に暴露されちゃった「zero-day」
セキュリティ関係でよく聞く「ゼロデイ」とはどういうものか、解説します。 - あの手この手でGoogle公式ストアに紛れ込む不正アプリ だまされないための対策は?
Google Playのセキュリティは向上してきたとはいえ、マルウェアは様々なテクニックを使って入り込んでいる。その手法と対策は? - 身代金5億円要求も 増長するランサムウェア、被害止まらず
データを人質にされるランサムウェアの対策は?
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.