• TOP
  • 特集一覧
  • スマートスピーカーのセキュリティを検証
2018/03/16

スマートスピーカーのセキュリティを検証

メイン画像

人気のオンラインサービスと連携可能なIoTデバイスが次々と登場するのに伴って、こうしたデバイスの購入を検討する利用者も増加してきています。様々なオンラインサービスとの連携が簡単に行えることは、IoTデバイスの購入理由の1つかも知れません。しかし、簡単にサービスを連携できるという魅力は、同時に、広範な問題を引き起こしかねないセキュリティ上の課題からの影響を受けやすいということでもあります。

トレンドマイクロは、インターネットに接続されたスマートスピーカーを対象に、攻撃者が遠隔から可能な操作を含めIoT デバイスの安全度を検証し、組み込まれているセキュリティについて調査しました。

音声デバイスのハッキング

トレンドマイクロの脅威リサーチ部門「Forward-looking Threat Research(FTR)チーム」は、市販されている スマートスピーカーを対象に「The Sound of a Targeted Attack」と題した調査を行い、攻撃に利用可能な利用者情報やその他の関連情報がインターネット上に露出していることを確認しました。

この調査では、検証用デバイスとして「Sonos Play:1」と「Bose SoundTouch」という 2 種類のスマートスピーカーを使用しました。トレンドマイクロは、検証を通して確認した不具合について両社に報告しています。Sonos 社は直ちにそれらの不具合を修正しました。「サービス拒否(Denial of Service、DoS)攻撃」を誘発する恐れのある不具合については、現在ではサービス停止状態になる代わりに HTTP ステータスコード「412(Precondition failed)」を返すようになっています。一方 BOSE 社については回答待ちとなっています(2018年3月12日時点)。この不具合の詳細については、同レポートを参照してください。

音声デバイスのハッキングというと、これまでは「Amazon Echo」や「Google Home」のようなスマートスピーカーを乗っ取る攻撃に注目が集まっていましたが、今回の調査を通してそれとは異なる攻撃も可能だという結論が得られました。中には、単純にポートを開いていることが原因で、インターネット経由で誰もがデバイスや利用者情報にアクセスすることができるというセキュリティ上の不具合も確認されました。

まず目を引いたのは、デバイスに同期した音楽ストリーミングサービスの登録メールアドレス情報や、同一ネットワーク上にある共有フォルダおよびデバイス一覧情報がアクセス可能な状態になっていたことでした。また、無線ネットワークの識別子「BSSID 」も取得可能でした。既存の API を利用してデバイスのBSSID の位置情報を調べたところ、対象デバイスが接続しているアクセスポイントのおよその位置情報を入手することができました。他にも、スピーカーで再生中の曲情報の取得や、URIで指定した音楽ファイルの遠隔からの再生などが可能でした。

このようなセキュリティ上の欠陥によって引き起こされる問題は、スマートスピーカーの不正な操作にとどまりません。インターネットに接続されたスマートスピーカーが露出していた情報が、攻撃者によって悪用される可能性もあります。

今回の調査では、セキュリティ上の課題を特定するために家庭用の Sonos Play:1 を使用しましたが、結果として得られた攻撃シナリオは一般の利用者だけでなく企業ネットワークにも適用可能です。

Sonos Play:1 については、既にこの問題を修正するための更新プログラムが公開されています。そして、こうした攻撃者が利用可能なセキュリティ上の問題は、特定のスマートスピーカーに限らず、その他の IoT デバイスでも起こりうる可能性があります。

スマートスピーカーのセキュリティを検証【The Sound of A Targeted Attack】(英語)|トレンドマイクロ Forward-Looking Threat Research 公式YouTubeチャンネル

IoT デバイスを狙う攻撃の前提条件

攻撃者は、対象の IoT デバイスの種類や攻撃シナリオにかかわらず、入手可能なさまざまな情報を利用して攻撃を組み立てます。以下は、Sonos 製スマートスピーカーを使用した検証を元に洗い出されたIoT デバイスを攻撃するための前提条件です。

・デバイスがインターネットに露出していること

トレンドマイクロのリサーチペーパー「Rogue Robots: Testing the Limits of an Industrial Robot’s Security」や様々なアンダーグラウンドに関わる調査でも言及しているように、攻撃者はオンライン検索エンジン「Shodan」のようなサービスを利用してインターネットに露出したデバイスを検索します。今回の調査時点では、4,000~5,000 台の Sonos 製スマートスピーカーがインターネットに露出していました。

・セキュリティ上の不具合が存在すること

各デバイスには、製造業者が修正する以前に攻撃者が悪用する不具合を抱える場合があります。例えば、認証プロセスの不備や更新プログラムが適用されていない脆弱性、外部から流出した情報などが挙げられます。調査対象のデバイスでは、不具合によって利用者情報へのアクセスが可能でした。

・悪用可能な機能が存在すること

IoT デバイスにはさまざまな機能や形態があるため、中には攻撃者が悪用可能な機能を抱えている恐れがあります。今回検証したインターネットに接続されたスマートスピーカーではオンラインの音声ファイルを指定して再生することができました。

・公開されている「個人情報(PII、personally identifiable information)」が存在すること

個人情報の中には、情報漏えいだけでなく、検索サービスやソーシャルメディアのようなインターネット上にある正規のサービスを検索して得られるものもあります。今回の調査では、「Maltego」のようなオープンソースの情報収集ツールを利用することで 727 件の固有のメールアドレスを取得することができました。また、米国メールマーケティング事業者「River City Media」、ビジネス特化型ソーシャルメディア「LinkedIn」、および音楽配信をメインとするソーシャルメディア「last.fm」のように、以前情報漏えいが報告されたサービスに関連のあるメールアカウントも確認されました。

攻撃シナリオ

FTRは、今回の調査を通して整理した上述の前提条件に基づき、インターネットに接続されたスマートスピーカーを狙う 3 つの攻撃シナリオを以下にまとめました。繰り返しになりますが、同一のまたは類似した脆弱性を持つデバイスはこれらの攻撃を受ける可能性があります。

攻撃シナリオ1:IoT デバイスから収集した情報を利用したフィッシング

図 1:標的の音楽の好みに合わせて個別に作成したフィッシングメールを送信

Nmap コマンドによるポートスキャンを実行し、Sonos Play:1 で実行中のアプリケーションが TCP/1400 番ポートで通信していることを確認しました。このポートの通信を追跡した結果、認証によって保護されていない URI にたどりつきました。

図 2:Nmap コマンドで確認されたサービス

図 3 に示すように、この URI はデバイス管理に使用するアプリケーションを読み込むためのページで、認証による保護はかかっていませんでした。また、各リンク先には、再生中の曲、再生可能な音楽ライブラリ、操作に使用された外部デバイス、同一ネットワーク内のデバイス、デバイスに同期した音楽ストリーミングサービスで使用しているメールアドレスなどの情報が含まれていました。

このような情報の露出は家庭用デバイスに限ったものではありません。同一ネットワーク内のその他の IoT デバイス情報を露出したデバイスが企業のネットワーク内に 1 つでもあった場合、攻撃者にとって価値のある情報を提供してしまう可能性があります。攻撃者はそのような情報から脆弱性が存在するプリンタのようなデバイスを発見し、そこからさらに情報を収集したり、該当のデバイスを侵入経路として利用したりするかもしれません。

図 3:Sonos のステータスページ

侵入経路を探索する以外にも、露出した情報を利用した標的型メール攻撃も可能です。例えば、再生されている曲から把握した音楽の好みに基づいて標的に応じたフィッシングメールを作成し、音楽ストリーミングサービスに登録されているメールアドレスに送信する攻撃が考えられます。このような標的型メール攻撃は企業に対しても有効です。

個人情報およびネットワーク情報を露出した IoT デバイスは、攻撃が成功する確率を上げるための貴重な情報を攻撃者に与えてしまっていると言えます。

攻撃シナリオ2:住所の特定や行動の監視

図 4:標的の住所を特定し在宅情報を監視

Wi-Fi の位置情報やその他の情報を総合してデバイスの位置を割り出せる場合があります。今回の調査では、デバイスに紐づいた BSSID から特定したおよその位置を別の方法(スマートスピーカーから参照したメールアドレス情報を、インターネット上の公開情報から検索することで)で特定した住所と比較したところ一致することが確認できました。

図 5:公開情報を利用して特定した住所(赤)と SSID の位置情報(黄)

位置情報以外にも、スピーカーを使用している時間帯のような情報も監視することが可能です。このような情報のパターンから、攻撃者は標的の起床時刻や就寝時刻、さらには外出している時間帯などをある程度予測することができます。

一般の利用者(および企業)は、サイバー攻撃を通して物理的な位置を特定される可能性があることにも注意を払う必要があります。在宅状態の判断につながる情報を漏えいするデバイスは、利用者の行動の予測を容易にするだけでなく、物理的な犯罪につながるリスクをもたらす可能性もあります。

攻撃シナリオ3:偽のメッセージを再生して利用者を誘導

図 6:偽の更新メッセージを再生し、マルウェアをダウンロードするように誘導

図 2 の URI で確認したデバイスの型番やシリアル番号のような情報を利用すると、再生中の曲を停止し、利用者を間違った行動に誘導するような音声を再生する攻撃が可能です。

この攻撃シナリオ3では、攻撃シナリオ1と同様に、音楽ストリーミングサービスに登録されているメールアドレスに標的に応じて作成したメールを送信します。このメールは更新プログラムについて通知する製造業者からのメッセージに偽装していますが、実際はマルウェアがダウンロードされます。

攻撃者は、標的のメールアドレスに基づいて公開情報から住所を割り出し、音声メッセージに標的の詳細情報を追加することでメールの信ぴょう性を高めることもできます。このような手法は、インターネットに接続した音声アシスタントや「Bring Your Own Device(BYOD)」のデバイスを利用する企業にとっても大きなリスクとなります。

今回はインターネットに接続したスマートスピーカーを取り上げ、その特性を元に検証を行いましたが、別の 機能を持ったIoT デバイスに対しては、攻撃者はその機能に応じた攻撃を工夫するでしょう。もし監視カメラやルータ、温度調節装置、あるいは利用者の活動を記録するウェアラブルデバイスにアクセスできるとしたら、彼らが何をするか想像してみてください。

IoT デバイスのリスク

IoT デバイスはもともと利用者の個人情報を守るように作られておりネットワークに接続しても安全だと決めてかかるのは危険です。サイバー犯罪者はすぐに IoT デバイスを悪用する方法を見つけ出すでしょう。IoT デバイスの製造並びに購買が増加するにつれ、組み込まれているセキュリティの不備が課題となっています。ネットワークやインターネットを介してデバイスが互いにつながっている場合、たった 1 つのセキュリティ上の欠陥を突くことで利用者またはネットワーク全体を攻撃することが可能です。攻撃に利用可能な機能や個人情報をインターネットに露出しているようなセキュリティ上の不備によって、利用者は攻撃の可能性にさらされ続けます。

IoT のセキュリティに関する最近の調査には、子供向けスマートウォッチを対象としたものなどがあります。

調査対象となったスマートウォッチには、身に着けている人の動きの追跡や会話の盗聴、身に着けている人との通信などが可能になる脆弱性が見つかりました。このような事例から、人気のあるデバイスであっても、製品のセキュリティに関する不備や重大な欠陥が残っている場合があることが分かります。

ここまで見てきたように、セキュリティ上の欠陥を持つ IoT デバイスが存在する場合、その影響はデバイス単体に留まらず、そのデバイスがつながっているネットワークにもおよびます。企業のネットワークにセキュリティ上の欠陥を持つIoTデバイスが存在すれば、その影響は企業全体におよびます。生産性向上のためのデバイスであっても、単に従業員が持ち込んだデバイスであっても、インターネットに露出するデバイスの導入を軽く考えてはいけません。

被害に遭わないためには

IoT デバイスはインターネットに接続する必要があることを考えると、製造業者は製品を購入した利用者に与えるリスクを最小化する必要があります。ただし、一般の利用者にとっては、IoT デバイスに組み込まれたセキュリティによって情報が適切に守られていることを確認するのは困難です。一般利用者の側にも更新プログラムを速やかに適用するといった対応が求められますが、製造業者は顧客をリスクにさらさないように、日々脆弱性の解消に努めると同時に(安全な自動更新等の手段で)セキュリティ更新プログラムの速やかで容易な適用といった安全のための手段を確保するべきです。

IoT デバイスはインターネットに接続されるものですが、決して露出されるべきではありません。今回検証したデバイスの場合、デバイスと通信するポートに対してインターネットから直接アクセスできないようにする必要があります。また、製造業者はデバイスが保持している情報を保護し、自社製品に関するオンライン掲示板を定期的に確認することも含めてセキュリティ監査を実施するべきです。

一方、一般利用者および企業の IT 管理者も製造業者に完全に頼り切ってはいけません。利用者は、外部からネットワーク上のデバイスやフォルダにアクセスできるルールがルータに設定されていないか自身で確認する必要があります。もし外部からのアクセスが必要な場合も最小限のデバイスに限定するべきです。また、可能な限りすべてのデバイスでパスワードによる保護を有効化し、初期パスワードはすぐに強力なパスワードに変更してください。

一般の利用者には、「オンラインスキャン for Home Network」のような無償ツールを使って、家庭内のIoTデバイスの接続状況やセキュリティの課題を可視化すると同時に、「Trend Micro Smart Home NetworkTM」の搭載されたルータや「ウイルスバスター for Home Network」のようなホームネットワーク内につながるIoTデバイスを保護できるセキュリティソリューションの利用を検討することを推奨します。

BYOD プログラムを実施している企業は、従業員にセキュリティガイドラインを提供し、どのようなデバイスがインターネットに接続されているか把握するようにしてください。

ますます多くのデバイスがインターネットに接続されていく世界において、製造業者、利用者、および IT 管理者はセキュリティを優先する心構えを持つ必要があります。あらゆる個人情報が IoT デバイスによって管理および保存されるようになっていくことを考えると、セキュリティは利便性やアプリケーションの統合と同様に重要な要素です。

本記事で紹介した攻撃シナリオの詳細については「The Sound of a Targeted Attack」を参照してください。このレポートでは、調査対象のデバイスが露出していたサービスの概要、セキュリティ上の欠陥によって公開されていた情報、インターネットに露出したデバイスを検索するために Shodan で使用したクエリなどについても解説しています。

おすすめの動画

IoTで広がる世界とそのセキュリティ

運営社情報

セキュリティブログ
is702
PageTop