せきゅラボ研究結果 第19回

ギャリー・デイビス氏（米国マカフィー セキュリティ エヴァンジェリスト）に訊く

2018年、我々は悪意ある者たちが「プレイブック」を変更した世界を歩く

IoTでの脅威の「恐ろしさ」には個人差がある

三上　IoTでの脅威は、DDoSのような攻撃の「足場」にされることのほか、今のお話のような「乗っ取り」、それから「プライバシーの侵害」というパターンがあると思います。どれが最も恐ろしいとお考えですか？

デイビス　全部ですよ（笑）　たとえば自分がいち消費者だとしたら、自分の持っているIoTデバイスがDDoS攻撃に使われたとしても、自分の生活に影響はほとんど及びませんよね？　そのときの心配の度合い、自分へのダメージはそれほど大きくはないでしょう。しかし朝起きたとき、自分の個人情報やデバイス情報がすべて流出してしたとしたら、これは大事だと考えるのではないでしょうか？

　要は、所有しているIoTデバイスを悪用された個人が何を重要視しているかによるでしょう。自分の情報流出が恐ろしいか、自分が悪事に荷担してしまうのが恐ろしいかというのは人によると思います。

　2016年にある調査がありました。日本が対象かどうかは不明ですが、「個人情報と引き換えに割引クーポンを得られるとしたらどうします？」という質問を広いユーザーに問いかけました。その結果、驚くことに若者のほうがクーポンを得るため個人情報を提供することに抵抗がなかったのです。逆に年齢層が高くなると、得をしなくてもプライバシーを維持したいという人が多かったです。

三上　先日、Google Home Miniが、周囲の音を勝手に録音し、そのデータがGoogleに送信されていたというニュースが話題になりました。

2017年10月、Google Home Miniが勝手に起動、Googleにデータを送信していることをレビュアーが発見。Googleはバグであるとして、一部機能を削除した

デイビス　その件は聞いています。何度か質問され、オフィシャルブログにも書かないかと言われていたのですが……Googleはやるべきことではないことをやってしまったな、と思っています。あくまで個人的な意見ですが、Googleは個人情報収集に関してのガイドラインを明確にして公開していることを評価していました。

　興味深く思っているのは、GoogleとAppleの違いです。Googleは製品やサービスを通じて、ユーザーのデータを収集して利用する、ということを明示しています。対してAppleは、できる限りユーザーの情報は集めない、と宣言してプライバシーを守る主義を貫いています。しかしGoogle Home Miniの件は、情報収集によって何かしら儲けたいという意図が見えなくもないですね。

三上　英語圏の人々はGoogleの情報の集め方に抵抗感はないのでしょうか？

デイビス　ないと思います。事前に「こういう情報を集め、皆さんの振る舞いを見てそれを商売にする」と宣言されているからです。

　以前「ISPが情報収集するのとGoogleが情報収集するのにどんな違いがある？」という議論が巻き起こったことがあります。ISPの場合はユーザーがお金を払っているので、それを利用して情報収集するのは許せない、と。しかしGoogleの場合は情報収集したデータを使うことで商売が成立している会社ですし、事前にしっかり予告しているので構わない。しかも、そのためにさまざまなサービスを無料で使えるのだし……という考えが大勢を占めたのです。

三上　スマートスピーカーがとても人気ですが、それによる個人情報流出の危険性についてはどう思いますか？

デイビス　個人的には心配ないと思っています。なぜなら、それらのデバイスは十分セキュアにできていると思っているからです。不正アクセスも容易ではないでしょう。もちろん、ある程度の情報はクラウドやサーバーに送られているとは思いますが、それはユーザーエクスペリエンスのようなわずかな情報ではないかと。

　課題があるといえば、たとえばAmazonの「Alexa」を使って買い物したとき、その履歴が残ってしまうことでしょうか。何を買ったかを知られたくないという人は問題になるかもしれませんね。もっとも、個人的にはスピーカーで音楽を聴くぐらいでそれほど活用はしないと思います（笑）

三上　IoTをめぐるセキュリティはどうあるべきなのでしょう？　OSも違う、製品も違う、メーカーも違う……そういった状態で、我々はどうやって身を守ればいいのでしょうか？

デイビス　米マカフィーは2017年の新製品として「McAfee Secure Home Platform（マカフィー セキュア ホーム プラットフォーム）」の提供を開始しています。これはホームゲートウェイルーターに搭載される製品です。IoTデバイスもPCもスマートフォンも、家の中で利用するデバイスはすべてホームゲートウェイルーターを介して通信しますよね？　そのルーター上で通信が悪質か否かを判断します。

CES 2017で展示されていた「McAfee Secure Home Platform」のデモ。日本上陸が待ち遠しい

三上　「McAfee Secure Home Platform」はホームゲートウェイルーターにハードウェアを接続するタイプの製品ですか？

デイビス　いえ、ホームゲートウェイルーターのベンダーと協力し、その製品内部にこの機能を搭載します。日本での発売も準備中です。