フィッシング
スマートスピーカー「Google Home」や「Alexa」を悪用して盗聴などを行う手法が実証される
スマートスピーカーで利用されるアプリは、「Amazon Alexa」では「スキル」、「Google Home」では「アクション」と呼ばれています。今回、ドイツのセキュリティ企業「Security Research Labs(SRL)」のリサーチャーは、これらスマートスピーカーのアプリ(スキルやアクション)を介して操作してセキュリティ上の欠陥を突く手法を実証しました。
スマートスピーカーで利用されるアプリは、「Amazon Alexa」では「スキル」、「Google Home」では「アクション」と呼ばれています。今回、ドイツのセキュリティ企業「Security Research Labs(SRL)」のリサーチャーは、これらスマートスピーカーのアプリ(スキルやアクション)を介してセキュリティ上の欠陥を突く手法を実証しました。
これはつまり、スマートスピーカー用不正アプリを初めて実証した実験ということができます。 SRLのレポートでは、この手法を利用することで、以下の手順により、ユーザのアカウント認証情報や決済情報などの機密データが窃取可能なことが示されていました。
- 無害なアプリを作成し、Amazon社もしくはGoogle社へ審査を依頼する
- 審査通過後、アプリ起動後のメッセージをエラーメッセージに見えるよう設定を変更する。例えば「ようこそ」を「このスキルは現在お住まいの国では利用できません」といった文言へ変更。もしくは遅れて表示させて「発音不可能な文字に対応中です」といったメッセージに変更する
- さらにユーザをだますためのメッセージ変更も行う。例えば「重要なセキュリティ更新プログラムが利用可能です。更新開始と発言してパスワードをお知らせください」というメッセージに変更し、ユーザの個人情報を窃取する 窃取されたデータは「スロット値(ユーザの発話内容)」として攻撃者に送信される
盗聴の手口についても、SRLのリサーチャーは、情報窃取のさまざまな技術を駆使して実証しました。今回の実証実験の場合、AlexaおよびGoogle Homeの「インテント」を使用していました。スロットがユーザの発話である一方、インテントとは、ユーザが発話で要求した活動内容のことを意味します。
今回実証された攻撃の場合、「停止して(英語でStop)」という音声コマンドの言葉で実行される機能が利用されます。その他、「メール(英語でemail)」、「パスワード(英語でpassword)」、「住所(英語でaddress)」のような言葉も攻撃に利用できるでしょう。例えば、アプリ審査通過後、「停止して(英語でStop)」という言葉で実行される機能や「さよなら(英語でGood-bye)」で実行される機能へ変更を施し、これらの音声コマンド後、一時停止が長く続くようにします。これにより、ユーザにアプリが終了したと思い込ませることが可能になります。その他、攻撃者が指定した言葉をユーザが発して、さらに一定の文言を発話した場合、その内容をスロット値として保存して攻撃者へ送信するような変更を施すことが可能です。なお、2つのスマートスピーカーの中でも、Google Homeの場合は、事前に言葉を指定する必要がなく、盗聴も無期限に実行できるため、これらの攻撃に対しては、より脆弱であると言えます。
SRLは、今回実証された手法については既にGoogle社およびAmazon社に通知しており、両社ともSRLの実験で使用されたアプリ(スキルおよびアクション)を削除しています。
SRLによる今回の実証実験は、IoT(モノのインターネット、Internet of Things)デバイスが脆弱性悪用やプライバシーリスクから免れないことを示す一例と言えるでしょう。その他、2017年には、トレンドマイクロのリサーチャーStephen Hiltの実証実験により、Sonos社のスピーカーシステムに関して、パスワードを初期設定のままにしたり、インターネットに露出させたり、誤った設定のルータに接続させたりすることで、フィッシング攻撃や機密情報漏えいの危険性があることを示しました。さらに2018年には、複数の大学のリサーチャーの共同研究により「ボイススクワッティング」の手法に関する報告がなされました。ボイススクワッティングとは、タイポスクワッティングの手法に似ており、後者がURLの打ち間違いを利用して不正なWebサイトへ誘導する手法に対し、前者は、AlexaやGoogle Homeなどのスマートスピーカーデバイスにユーザが誤って発した音声コマンドを利用して攻撃者のアプリを起動させる手口となります。
■被害に遭わないためには
トレンドマイクロでは、「2019年上半期セキュリティラウンドアップ」でもIoTの脅威状況を取り上げており、これまで確認された攻撃はまだ兆候に過ぎず、今後、IoTの導入が増加し続けるにつれ、この脅威の手法や標的がさらに多様化していくことが懸念されています。IoTの脅威によるプライバシーやセキュリティリスクは、ユーザの自宅だけではなく、IoTの導入が職場へ進む中、企業などのビジネスの現場にも及ぶことになるでしょう。
IoTのセキュリティ対策は、協働で対応すべき責任と考えることができます。企業とユーザは、認証情報の更新、IoT機器が使用するルータなどのアクセスポイントのセキュリティ、最新の修正パッチの適用など、それぞれの責任に応じてセキュリティ対策を講じておく必要があります。開発および配布する製品のプライバシーやセキュリティに関しては、販売事業者、製造元、サードパーティのアプリ開発者などが協働して組み込む必要があります。
■トレンドマイクロの対策
トレンドマイクロの「Trend Micro Smart Home Network™」を搭載したルータや、家庭用ルータを中心に構成されるホームネットワークを保護する「ウイルスバスター for Home Network」では、トレンドマイクロがクラウド上に保有するWebレピュテーションデータベースと連携し、フィッシング詐欺サイトやウイルスの配布サイトなど不正サイトへのアクセスをブロックします。また、家庭内に接続されている各デバイスへの脆弱性を悪用する攻撃をネットワークレイヤでブロックし、ルータなどの脆弱性を悪用する攻撃に対応します。 参考記事:
- 「Alexa and Google Home Devices can be Abused to Phish and Eavesdrop on Users, Research Finds」 by Trend Micro
翻訳: 下舘 紗耶加(Core Technology Marketing, Trend Micro™ Research)