電子機器を修理サービスに出すのは危険? カナダチームが検証 修理中の全ログ取得、返却後に解析してみた:Innovative Tech
カナダのUniversity of Guelphに所属する研究者らは、電子機器修理業界における顧客のプライバシーに関する調査を行った研究報告を発表した。
Innovative Tech:
このコーナーでは、テクノロジーの最新研究を紹介するWebメディア「Seamless」を主宰する山下裕毅氏が執筆。新規性の高い科学論文を山下氏がピックアップし、解説する。Twitter: @shiropen2
カナダのUniversity of Guelphに所属する研究者らが発表した論文「No Privacy in the Electronics Repair Industry*」は、電子機器修理業界における顧客のプライバシーに関する調査を行った研究報告である。
電子機器の修理サービスは、大型から小型店舗まで、さまざまな企業によって提供されている。Geek Squad(Best Buyの技術修理・サービスの子会社)だけでも、年間450万人の顧客にサービスを提供しているという。
これらの企業が提供するサービスの種類には、ソフトウェアのインストールやトラブルシューティング、定期メンテナンス(ソフトウェアのアップデートなど)、データ復旧、ハードウェアの修理などがある。顧客は、PCやスマートフォンなど、さまざまなコンピューティングデバイスでこれらのサービスを利用している。
コンピューティングデバイスのサービスや修理では、インストールや診断、または検証のために、デバイスのオペレーティングシステムへの(管理者)アクセスが必要になることがよくある。これにより、技術者はデバイス所有者の個人データにアクセスできる状態となる。このようなプライバシー侵害は、偶発的や意図的、または法執行機関の要請で発生する
過去の事例で言うと、Apple StoreとGeek Squadの技術者によって所有者のヌード写真が盗まれた。ある例では、スマートフォンの修理サービスの従業員が、7年以上にわたってヌード画像を盗み、配布していた。こういった事件が発覚した後、企業側は従業員に対して指導やプロトコルの強化を行ったが、数年後に同様の事件が発覚し、根本的な改善には至っていない。
この研究では、電子修理サービス業者と顧客の両方からインタビューやオンライン調査などを行い現状を調査する。また修理する従業員が実行した全てのアクションを記録するようデバイスに仕掛けを施し、修理完了後にログを分析し、従業員が行ったプライバシー侵害の種類を明らかにする。
調査の結果、次に示すようなことが分かった。まず、18の修理サービス業者を対象とした実地調査により、ほとんどの業者が従業員によるデータ窃盗からデバイス所有者の個人データを保護するためのプライバシーポリシーや管理体制を有していないことが明らかになった。
次に、従業員はユーザーに対して、不要なときでもデバイスへの「全アクセス」を要求することが分かった。これはユーザーと再度連絡を取ることなく、迅速な診断や修理、検証を行うため、そしてどのコンポーネントが問題の原因であるかが予測困難な場合、必要なアクセスの種類を決定することが難しいためである。
修理後のログを調べてみると、データを気軽に盗み見ることが日常茶飯事であると分かった。「(露出度の高い)写真の閲覧」「フォルダののぞき見」が最も多かった。少ないがデータの盗難も確認できた。さらに、従業員が盗み見や盗難の痕跡を残さないように努力していることも分かった。証拠が残らないように慎重に行い、あるいは証拠を消していた。
アンケート調査では、ユーザーは壊れた端末のうち33%はプライバシーの懸念から修理に出さないことが分かった。一方で、プライバシーの懸念はあるものの、壊れた端末が必要不可欠なことや、データを失う不安から修理に踏み切る人も多かった。修理に出す際になんらかの対策を打つ者は少なかった。技術的な基本知識がないため、対策を打てないでいた。
このような現状を変えるアプローチとしては、機器メーカーが「修理モード」を用意するというものが挙げられる。ゲストアカウントで限定的なアクセスのもと修理を行うというものだ。サムスンは、既に自社のスマートフォンに取り入れている。
Source and Image Credits: J. Ceci, J. Stegman and H. Khan, “No Privacy in the Electronics Repair Industry,” in 2023 2023 IEEE Symposium on Security and Privacy(SP)(SP), San Francisco, CA, US, 2023 pp. 941-958. doi: 10.1109/SP46215.2023.00054
関連記事
- “13歳少女”のなりすましbotで、子供狙う大人の動向を検証 ほとんどがWebカメラへ誘導
イスラエルのHebrew University of Jerusalemと米ジョージア州立大学に所属する研究者らは、作成した複数の児童に扮したチャットbot(ハニーポット)に対して大人たちがどのようなアプローチを仕掛けてくるかを調査した研究報告を発表した。 - 中古ルーターは機密データの宝庫? 購入して検証、半数以上に企業秘密が残存 スロバキアチームが調査
セキュリティ企業ESETの研究者らは、テストのために購入した中古の企業向けルーターの半数以上(56.25%)が、前の所有者によって完全にそのままの状態で残されていたことを示した研究報告を発表した。 - ユーザーだます、悪意あるUI「ダークパターン」 日本のアプリでどのくらいあるか 東工大が調査
東京工業大学アスピレーショナル・コンピューティング・ラボに所属する研究者らは、日本で提供される人気モバイルアプリからダークパターンを調査した研究報告を発表した。 - ChatGPTに詐欺メールの相手をさせたら? 最大18回のやりとりを記録 詐欺師の時間の浪費に成功
イタリアのNational Research Council of Italyに所属する研究者らは、詐欺師が送る詐欺メールとのやりとりをChatGPTにしてもらったらどうなるかを検証した研究報告を発表した。 - ChatGPTは弁護士の代わりになるか? 「カタツムリ混入ビール事件」の判例で検証 香港チームが発表
香港の法律事務所Albert Luk Chambersと香港中文大学に所属する研究者らは、実際の判例を題材にChatGPTに法律文書の作成と法的調査を複数出力させ考察した研究報告を発表した。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.