スマートスピーカー(AIスピーカー)のセキュリティに関するニュースをお伝えする。
以前、人間の聞こえない音声でスマートスピーカーを操作するハッキング手法「ドルフィンアタック」を紹介したが、今回はBluetoothを使ったものだ。
Blueborneとは?
「BlueBorne」(ブルーボーン)は、Android、Linux、iOS、Windows等のBluetoothに存在する脆弱性の総称だ。IoTセキュリティ企業Armisが、これらの脆弱性の総称として「BlueBorne」と命名し、2017年9月に発表したものだ。これが何故話題かと言えば、約53億台のBluetooth搭載機器がBlueBorneの影響を受けると推測されるためである。
「BlueBorne」を攻撃者が悪用した場合、遠隔操作でBluetooth搭載機器を乗っ取ることが可能となる。これにより、不正コードの実行、情報収集、中間者攻撃、他機器への拡散等が起こりうるという。
Wikipedia / Blueborne
スマートスピーカーもBlueborneの脆弱性対象?
IoTセキュリティ企業ArmisはスマートスピーカーのAmazon Echo、Google HomeについてもBlueBorneの脆弱性の対象となるとブログで報告している。
Amazon Echoの場合
1. Linuxカーネルのリモートでコードが実行される脆弱性(CVE-2017-1000251)
2. SDPサーバの情報漏えいの脆弱性(CVE-2017-1000250)
Google Homeの場合
1. AndroidのBluetoothスタックの情報漏えいの脆弱性(CVE-2017-0785)
そもそもスマートスピーカーは他のデバイスと異なりBluetooth通信をオフにすることができず、さらにアンチウイルスソフトを使う方法もないため、ユーザーが対策できないという問題がある。
実際にAmazon Echoを乗っ取る動画も公開されている。
スマートスピーカーユーザーの対策は?
Armisはこの発表を行う前に、AmazonとGoogleの両方に調査結果を通知し、既にAmazon EchoとGoogle Homeとも自動アップデートで対策済みとなっているという。
なので今回のBlueBorneについてはユーザーは作業不要でパッチされた状態となっている。
僕はこう思った:
スマートスピーカーが普及すればするほど、セキュリティ問題は大きな問題になっていきそうです。今後も注目分野としてウオッチしていきます。
ロボスタ / Amazon Echo
