0
いいね!でマイページに保存して見返すことができます。
共有する
10月、あるセキュリティエンジニアのツイートから、H.I.S.ホテルホールディングスが運営する「変なホテル」のベッドサイドに設置されるアシスタントロボットの脆弱性が指摘され、ホテル・ベンダーが対応に追われる問題が発生した。その少し前、パナソニックやKDDIらが「LIFE UPプロモーション」というプロジェクトを発表した。家電・IoTセキュリティの問題はいまさら感があるが、2つの事例は、企業、ユーザー双方に、今後のIoTへの接し方を考えさせられるものだ。
ベッドサイドロボの脆弱性をハッカーが発見
「変なホテル舞浜」に設置されたアシスタントロボットの脆弱性は、海外のセキュリティエンジニアによって発見された。当該エンジニアは、すぐにホテルの運営企業であるH.I.Sホテルホールディングスに報告を行った。ホテル側はロボットの開発ベンダー(MJI)とともに調査したが、ハッキングや情報漏えいなどは確認できず。賞金目当ての連絡と思い、あえて通報者とは接触しなかったという。
発見者は、90日たってもホテルから連絡がないとして、自身のツイッターアカウントでハッキングされたロボットの写真とともに「カメラやマイクがNFC(スマホ決済などでよく利用される近距離無線通信規格)経由のコードで制御できる」とツイートした。
このツイートが日本語で引用リツイートされたことで、日本でもすぐに話題となった。改めてホテルおよび開発ベンダーが調査したところ、NFC経由の脆弱性が確認され、当該ロボットのソフトウェア改修、および関連製品のオンラインアップデートが実施された。
発見者は、脆弱性がありハッキングできることを伝えていたが、MJIにはNFCに問題があるということは伝わっていなかった。発見者は、NFC経由が一番簡単な方法だったと述べているので、問題箇所が正しく開発ベンダーに伝わっていれば、すぐに確認できたものと思われる。
ただし、バグバウンティの場合、報酬を得る必要があるので、最初のコンタクトではあまり詳細を伝えないのがルールだ(企業側が勝手に直して報告者を無視することがあるから)。このようなルールは、連絡を受ける可能性がある企業側も、覚えておくと良い。
潜在的脅威が多様なIoT
いずれにせよ、賞金目当てのバグバウンティを含めて、外部からの脆弱性報告の扱いは難しい。脆弱性情報についてはグローバルな枠組みがあり、一般論に言えば、しかるべき機関・組織(日本ならNISC、JPCERT/CCなど)以外からの脆弱性報告は、その信ぴょう性から疑ってかかるのは無理からぬことだ。
事件の経緯と結果だけをみて、ホテルやベンダーの対応を批判するのは簡単だが、そこは問題の解決や自身の防衛にはあまり貢献しない。サービス提供者や開発ベンダーが教訓とすべきは、バグバウンティやソーシャルデバッグについての認識を持つことと、IoT機器の場合、PCやサーバ以上に「物理的な接触によるハッキングや汚染、攻撃に注意が必要」ということだろう。
建物やデータセンターで守られたPC・サーバと違い、持ち歩いたり屋外に設置されるIoT機器のリスクはバリエーションが広い。この点はスマートフォンやタブレットにも当てはまる。無線LAN、Bluetooth、NFC、赤外線、USB端子、SDスロット、イヤホンジャック、電源ケーブルなど、さまざまな攻撃ベクターが存在し、それぞれが脅威を導入し得る。
イヤホンジャックは、Androidのスマホに存在した脆弱性だ。デバッグモード用として、イヤホンジャック経由のシリアル通信が可能なバージョンがかつて存在した(現在は修正済み)。電源ケーブルをピックアップすることで、そのノイズから信号を読み取る技術も研究されたこともある。開発側は、出荷バージョンでは使わない機能はハード、ソフトともに実装しないのが鉄則だ。開発中の名残や将来的な拡張性、メンテナンス用にあえて実装する場合は、最終的な仕様チェックと対策を怠らないようにすべきだ。
IoT機器は物理的セキュリティも重要
ユーザー視点では、「IoT製品はセキュリティ対策を施しにくい」という意識を持つことが重要となる。製品のサイズ、値段、設置場所、使用方法、目的が多様すぎて、すべての対策をまとめることが難しい。特に値段とサイズの問題は大きい。単価が安い製品は対策コストも限られる。
端末側、エッジ側で処理できない、対策に必要なリソースを確保できない場合、一般的にはサービス提供者や開発ベンダーに、ネットワークやハブノード、クラウド上でセキュリティ対策を考えてもらうしかない。トラフィック監視やログ監視によって、不正・不審な通信、処理を検知して予防や対策につなげるといったものだ。
これらは、ユーザー側から制御できないので、対策は提供者・ベンダー任せとならざるを得ない。
しかし、だからといって悲観的になる必要もない。ネットワーク以外のほとんどの攻撃ベクトルは、機器本体に接近するか、直接触れるかしないと攻撃が成立しない。変なホテルのロボットの事例も、発見者は実際にこのホテルに宿泊して、実機に直接侵入している。物理的なアクセスには物理的なセキュリティで対応が可能だ。ホテルやレストランなど、入退室や利用者のスクリーニングは難しいが、IoT家電は家の中ということで一定の物理セキュリティ(入退室管理)が期待できる。
なお、変なホテルの事例では、単にロボットのNFC機能を無効にして署名のないコードを受け付けないようにすれば良い。どちらもソフトウェア的な対策が可能なものだ。
MJIは、すでに対策済みと発表している。また、NFCを搭載したロボットは舞浜に設置したものだけだそうだ。
【次ページ】「企業すらも脅威の1つになる」という認識
関連タグ