スマートスピーカーから情報が漏れるって本当?
スマート家電が受けるサイバー攻撃と5つの対策ポイント
ネットにつなげて利用するスマート家電は、パソコンやスマホ同様にサイバー攻撃に注意が必要です。スマート家電には、一体どんなサイバー攻撃が起こり得るのでしょうか?スマートスピーカーを使って実際に行われた調査をもとに、予想される攻撃と安全に利用するための5つのポイントを紹介します。
いま話題のスマートスピーカーってなに?
Google HomeやAmazon Echo、LINEClova WAVEなどのスマートスピーカーが人気を博しています。スマートスピーカーは、音楽の再生機能だけでなく、マイクと人工知能(AI)を活用した音声アシスタント機能、および通信機能を備えるスマート家電の一種です。
特に革新的なのは、音声アシスタントが人の発した言葉を認識し、さまざまなリクエストに応えてくれることです。問いかけに応じてニュースを読み上げたり、アラームのセット、ウェブサイトでの調べものなども行ってくれますし、照明器具やテレビと連携させれば、声をかけるだけで照明をつけたり、テレビのチャンネルを変えたりしてくれます。
ただ、ネットにつないでの利用を前提とするスマートスピーカーは、パソコンやスマホと同様に、ハッキングによる情報漏えいやウイルスによる不正操作などのサイバー攻撃を受けるリスクがあります。トレンドマイクロが行った調査をもとに、スマートスピーカーの利用シーンではどのような危険にさらされるリスクがあるか見ていきましょう。
スマートスピーカーの利用シーンにおける3つのサイバー攻撃リスク
トレンドマイクロの調査で、市販されているスマートスピーカーに設計上の不備や悪用されかねない脆弱性が確認されました(※)。仮にサイバー攻撃者がこれらの設計上の不備や脆弱性を悪用すると、これから挙げる様々なサイバー攻撃が実現する可能性があります。
想定される攻撃例1:
遠隔からスマートスピーカーの再生履歴をのぞき見された結果、好みの音楽を把握され巧妙なフィッシング詐欺メールを送りつけられる
スマートスピーカーの設計上の不備を利用して、スマートスピーカーで利用する音楽ストリーミングサービスに登録したメールアドレス情報や、再生中の曲、再生可能な音楽ライブラリ、ホームネットワーク上の端末一覧や端末の共有フォルダを攻撃者がインターネット越しにのぞき見できることが確認されました。
例えば攻撃者は、スマートスピーカーから収集したこれらの情報をもとに信ぴょう性を高めるフィッシングメールを作成することも可能です。被害者が利用する音楽ストリーミングサービスを騙って「あなたにおすすめの楽曲が50%オフ」などの誘い文句とURLを記載したメールを送信し、そこからフィッシングサイトへ誘導する攻撃などが想定されます。
※画像をクリックすると拡大されます。
また、同一のホームネットワーク上にある端末の一覧情報などが確認できるため、この一覧にある端末を探り、脆弱性を見つけて攻撃し、ホームネットワークに侵入することも考えられます。
想定される攻撃例2:
遠隔からスマートスピーカーの利用状況や位置情報をのぞき見され、所有者の行動パターンや住所を突き止められる
今回の調査では、スマートスピーカーにひもづく BSSID(無線LANにおいてネットワークの識別に用いる情報)などを取得してつかんだアクセスポイントのおよその位置と、スマートスピーカーから取得したメールアドレスをもとにSNSなどのネット上の公開情報をたどることで特定した住所が一致することも確認されました。
調査時にBSSID情報を用いて導いた位置情報(黄色いピン)とSNSなどの情報から
導いたスマートスピーカーの持ち主の住所と推測される情報(赤いピン)を
マッピングした図
これに加えて、遠隔からスマートスピーカーの利用状況を確認することも可能でした。たとえば、使用時間帯などのパターンを監視すれば、利用者の起床時間や就寝時間、外出している時間帯などをある程度推測することが可能です。
これらの情報を組み合わせれば、実際の住所とともに外出時間が把握され、空き巣などの被害に遭うことも考えられます。
想定される攻撃例3:
遠隔からスマートスピーカーに間違った行動を誘発する音声を再生されてしまう
攻撃者にスマートスピーカーの型番やシリアル番号などの情報を取得されると、スマートスピーカーで確認された脆弱性を悪用することで再生中の曲を停止され、間違った行動を誘発する不正なメッセージを再生されてしまう可能性があります。
スマートスピーカーの製造元を偽ったプログラムの更新通知を装う偽メールを送りつけ、脆弱性を悪用してスマートスピーカーから更新を勧める音声を再生することも可能です。偽の通知メールと同時にスマートスピーカーからも同じ内容の通知が行われれば、利用者が本物と信じてしまう可能性はより高まるでしょう。
※画像をクリックすると拡大されます。
スマート家電を安全に利用するための5つのポイント
こうした危険にさらされるリスクは、スマートスピーカーの利用時だけに限りません。ネットにつながるすべてのスマート家電でサイバー攻撃への備えが必要です。スマート家電を安全に利用するための5つのポイントを確認しておきましょう。
セキュリティやプライバシーを考慮して設計されたスマート家電を選ぶ
スマート家電の購入にあたっては、セキュリティ機能やプライバシー保護機能、サポートの有無を選定基準の1つにしましょう。セキュリティ面では、更新プログラムの通知機能や自動更新機能を備え、脆弱性を速やかに修正できることがポイントです。スマート家電が収集する情報の種類や保管方法、使用目的、利用者側で制御できるプライバシー設定を確認し、メーカーが定める個人情報の取り扱いやプライバシーに関する方針に目を通すことも大切です。
スマート家電に適切なセキュリティ設定を行う
スマート家電を使い始める前に、適切なセキュリティ設定を行いましょう。パソコンと同じように、メーカーからOSやファームウェアの脆弱性を修正する更新プログラムが提供されたら速やかに適用することが重要です。また、管理者用のIDとパスワードが共通の初期値となっている場合やマニュアルなどで不特定多数の人に公開されている場合は、第三者に推測されにくい複雑なパスワードに変更してください。
ルータのセキュリティ設定を見直す
ホームネットワークの要であるルータが侵害されると、そこに接続するすべてのスマート家電が脅威にさらされるリスクがあります。ご家庭のルータのセキュリティ設定を見直しましょう。ポイントは、「ルータの管理画面に入るためのIDとパスワードの初期値を変更すること」「ファームウェアの脆弱性を修正する更新プログラムが提供されたら速やかに適用すること」「暗号化方式にWEPではなく、WPA2などのより安全な規格を指定すること」です。
ネット上での個人情報の公開範囲を制限する
SNSなどで個人を特定できる氏名や住所、勤務先、メールアドレスなどの情報を広く公開することは避けましょう。SNSは、攻撃者にとって格好のスパイ活動の場です。彼らは、プロフィールや人間関係などを把握した上でもっともらしい偽メールを作成、送信し、あなたを不正サイトへ誘い込むかもしれません。SNSの利用時は、悪意のある第三者に攻撃のヒントとなる情報を与えないよう適切な公開範囲を設定しましょう。
ホームネットワークのセキュリティを確保する
家庭用ルータが備えるセキュリティ機能や、「ウイルスバスター for Home Network」などのセキュリティ製品を利用し、ホームネットワークにつながるスマート家電を脅威から守りましょう。まずは、ホームネットワークにつながる家電ごとにセキュリティの問題点と解決策を示してくれる無償ツール「オンラインスキャン for Home Network」を試し、適切な対策を行いましょう。
参考:オンラインスキャン for Home Network | トレンドマイクロ
※トレンドマイクロでは、確認された情報を開発元に事前に共有し、修正のサポートを行っています。
