「Siri」や「Googleアシスタント」などの音声アシスタント機能を利用している人は多いだろう。話しかけるだけで操作できる上に、人の声を使うため、他人が悪用しようとしてもすぐに気付くはず。ところが、音声アシスタントを「人には聴こえない音」で操作する方法があるという。
中国の浙江大学の研究チームが開発した「DolphinAtack」は、超音波を利用して音声アシスタントをハッキングするものだ(論文、外部リンク)。仕組みとしては、人にはほとんど聴こえない20kHz以上の周波数の音声コマンド信号を変調し、小型アンプで増幅して、超高音を再生するスピーカーから鳴らすもの。
これにより、デバイスのマイクの振動板は、人の声を受け取ったときと同じように振動。そこから生まれた電気信号を認識することで、音声アシスタント機能が、あたかも持ち主の音声で操作されたように誤動作してしまうという。DolphinAtackはSiriやGoogle Homeのみならず、Microsoft Cortana、Amazon Alexaなどのアシスタントも動作させることに成功している。
ただ、DolphinAtackを使った実験では対象のデバイスに近づかないと動作させることができないため(範囲はおよそ1メートルとのこと)、すぐに悪用されて端末が遠隔操作されるような事態が多発するとは考えにくい。そもそも、音声アシスタントの機能を有効な状態にしておかなければ使えないため、デバイス側で機能をオフにすればこのハッキングは防げる。
なおこの論文では、デバイスのマイクは20kHz以上の周波数には反応させないようにする、変調した信号を検出したらブロックする仕組みを取り入れるなど、超音波を利用した音声ハッキングについて対策も提案している。
さて、一般のスマホユーザーは、DolphinAtackの事例から何を学べるだろうか? 超音波で自分のスマホがハッキングされるかもしれない……という恐怖をいたずらに抱くだけでは不十分だろう。最新テクノロジーに精通した犯罪者が新しい攻撃を考える可能性がある以上、スマホユーザー自身がセキュリティ問題を意識することが重要なのだ。
たとえばスマホのデータをこまめにバックアップして、セキュリティ対策のアプリをインストールしておけば、悪意のある攻撃に対処しやすくなる。また最新のOSやアプリのアップデートをしておけば、報告されている不具合を突いた攻撃を未然に防げるはずだ。
今回はMcAfee Blogの「Androidスマホの80%にリスク! 暗号化によりセキュリティを確保」を紹介しよう。
Androidスマホの80%にリスク! 暗号化によりセキュリティを確保
ポケットにスマートフォンを入れたままタイムトラベルをしたとします。中世の農民が初めてこのデバイスを目にしたら、当然、興味を持つでしょう。そのとき、農民にスマートフォンの仕組みを説明できますか。スマートフォンは仕組みを知らなくても簡単に使えるため、ほとんどの人は説明できないでしょう。そして、これこそまさに問題の原因になっているのです。中世の農民と同じように技術的知識のない消費者は、最新テクノロジに精通した犯罪者にとって格好の標的です。そのため、最近のサイバー犯罪では特に、Androidスマホに利用されているLinuxカーネルという技術コンポーネントをベースにした新しい戦術(英文)が使われるケースが増えています。
その手法を理解するには予備知識が必要です。まず、ソフトウェアは複数の層で構築されています。家を建築する方法を思い浮かべてください。屋根は壁、足場、基礎によって支えられています。Androidなどのオペレーティングシステムも同じです。つまり、AndroidデバイスではLinuxカーネルが基礎の層となり、それによって、アプリケーションとデバイスのハードウェアの通信方法が定義されます。
そのため、サイバー犯罪者はLinuxカーネルを悪用できれば(英文)、直接携帯電話を悪用できます。これはユーザーのデバイスに不正な命令を送信するためにWebサイトに侵入していた従来の攻撃に比べると格段に進歩しています。この新しい方法ならそのような方法は必要ありません。Webサイトを経由しなくてもデバイスのふるまいを変更することができるのです。
これは何を意味するのでしょうか。たとえば、見たこともないWebサイトが表示されることがあります。その保護されていないWebサイトに突然、ログインプロンプトが表示されます。ユーザー名とパスワードを入力すると、その情報が犯罪者の手に渡る仕組みになっています。犯罪者はユーザーのデバイスのソフトウェアを悪用して、デバイスのふるまいを制御していたのです。専門家は、Linuxカーネルの問題はAndroidスマホの80%までに影響を与える可能性があると推定しています。それは14億台のデバイスに相当します(英文)!
パニックが起こらないよう、Androidスマホを安心して使用するための重要な注意点(英文)をお教えしましょう。まず、犯罪者は単純にスマホにリモートアクセスすることはできません。そのような不正行為を行うには、Webサイトやメッセージ、ニュースフィードの共有リンクを悪用して、ユーザーのデバイスからの接続に侵入する必要があります。つまり、IPアドレスと送信元の情報を入手する必要があります。さらに、接続のテストに10秒かかり、不正なコードの注入に45秒かかります。そのため、平均的な市民に対してこのような攻撃が大規模に仕掛けられる可能性はほとんどありません。
また、ユーザー自身が大小のセキュリティ問題を意識することが重要です。ユーザーの知識が多ければ多いほど、より適切に自分自身を保護することができます。たとえば、Linuxカーネルのハッカーがスマホの接続にアクセスする必要があることを知っていれば、その抜け穴を悪用から防御できます。暗号化された通信を使用すれば、最初からサイバー犯罪者の侵入を拒否することができます。Android 端末を保護する方法を含め、ヒントを以下で紹介します。
- モバイルでWebサイトを表示する場合、「https」の「s」があることを確認します。
- 接続の安全を保証するWebトラフィックの標準(英文)はいくつかありますが、すべてのWebサイトが従っているわけではありません。しかし、スマホで安全に利用できるWebサイトを特定することは可能です。Webサイトアドレスが「https」で開始していることを確認するだけです。ブラウザによってはその部分が非表示になっていますが、その場合は通常、サイトが安全であるかどうかを知らせる機能が組み込まれています。
- 評判のよいWebアプリケーションやモバイルアプリを使用します。
- ユーザーもリソースも多い大企業では、アプリケーションの保護が重視されます。たとえば、Gmailではメッセージの内容だけでなく、トランジット接続も暗号化されます。不明な点が多いサードパーティ製のアプリケーションは避けてください。
- Androidは必ず更新します。
- セキュリティの問題が検出されたら、ソフトウェアをアップデートして新しい防御を適用します。Linuxカーネルのように、Androidの古いバージョンではなく新しいバージョンに影響するような問題は例外的なケースです。一般的にはデバイスは常に更新すべきです。暗号化技術が改善された場合は特に、更新は重要です。
そして、もちろん、私とマカフィー公式Twitterをフォローして、消費者とモバイルセキュリティに対する最新の脅威を確認してください。また、マカフィー公式Facebookの「いいね!」もお願いします。
※本ページの内容は 2016年8月19日更新のMcAfee Blogの抄訳です。
原文: 80% of Android Phones Are at Risk! Luckily, People Can Use Encryption for Safety
著者: Gary Davis(Chief Consumer Security Evangelist)