キヤノンMJ/サイバーセキュリティ情報局
Amazon Echoなどのスマートスピーカーを使った盗聴から身を守る方法
本記事はキヤノンマーケティングジャパンが提供する「サイバーセキュリティ情報局」に掲載された「スマートスピーカーのリスクとその対策」を再編集したものです。
一般的に、スマートスピーカーは音声を認識できるように設計されているが、盗聴されている可能性はないのだろうか?
以前、AmazonはスマートスピーカーであるEchoを介してユーザーの会話を取得したり、テキスト化する可能性があったとして非難を受けた。それ以降、被害者の知らないところでIoT機器がどのように悪用され、私たちの会話を盗聴するのか興味を抱くようになった。Alexaを活用した機器や、その他のスマートデバイスを提供する大手テック企業は、以前よりもプライバシーに配慮するようになっている。しかし、スマートスピーカーを使用した盗聴のリスクは依然として残っていると言わざるを得ない。この記事では、実際に検証した、スマートスピーカーの注意すべき機能について解説する。
AmazonのEchoを使った盗聴の可能性
先日、友人からハッキングされているかを検証してほしいと相談を受けた。友人の生活にまつわる具体的な話やプライベートな会話まで、かつてのパートナーがどうして知り得たのか理解できないと言うのだ。友人は、そのかつてのパートナーに盗聴されていて、会話がすべて録音されているのではないかと怪しんでいた。
そこで、ESET社のセキュリティソフトウェアを使い、友人の携帯電話とノートパソコンを確認した。しかし、マルウェアや怪しいものは見つからなかった。
「Woman says Alexa recorded and shared the private conversation she was having with her husband(夫とのプライベートな会話がAlexaに記録・漏えいされたと話す女性の体験談)(英語のみ)」
次に盗聴を疑った。怪しいものは見つからなかったが、友人の自宅にあったAmazonのスマートスピーカー「Echo Dot」が目に入った。スマートスピーカーにアクセスできる人がほかにいるか尋ねると、2年前に交際していたパートナーが設置し、共有のアカウントを使ってアクセスしていた、と友人は話した。そのアカウントは、今は彼女だけが使用している。
そのパートナーと別れて以来、Amazonやその他のアカウントもパスワードを変えていないと彼女が言ったので、ここから調査を始めることにした。アカウントにアクセスできる何者かが、アプリを介して別の場所から友人の会話を盗聴しているのではないかと考えたからだ。同様の事例を聞いたことがあったため、Alexaが搭載されたEcho Dotを盗聴器として使えるのか自ら検証することにした。
Amazon Echo Dotを購入して検証を進めていくうちに、直感は正しかったことがわかった。
スマートデバイスのアクセス権限
スマートデバイスの中には、箱から取り出して電源を入れればすぐに使えるものがある。しかし、標準設定のままでは安全でない場合がほとんどだ。Amazonなど大手のテック企業は、メーカーやサードパーティによる不正行為からユーザーを守るよう設定を改善したが、スマートデバイスを含めた多くの機器で設定されているプライバシーとセキュリティは十分でない、と考えている。
さらに悪いことに、悪意を持った誰か(より正確にはデバイスの管理者)によって、デバイスがスパイ目的で悪用されるリスクがあることはほとんど知られていない。(もちろん、管理者がチェックボックスをクリックして各種設定を有効化してしまえば、セキュリティ上の脆弱性とは言えない。Microsoftのセキュリティに関する10、不変の法則にある6番目には、「コンピューターの安全性は、管理者の信頼性にかかっている」と記載がある)
「Work from home: Should your digital assistant be on or off?(テレワークの注意点:デジタルアシスタントを有効化しておくべきか)(英語のみ)」
そこで、推測されにくい複雑なパスワードをEcho Dotに設定し、認証アプリを介した二要素認証(2FA)を有効化した上で、私の携帯電話に接続した。iPadにも簡単に接続でき、セキュリティに関しては安心できた。
その後、アプリ内の「デバイス」から「Echo Dot」を選択して「設定」に進み、「コミュニケーション」を有効化した。続いて「ドロップイン」機能をタップし、有効化した。その後、「コミュニケーション」タブに戻り、「ドロップイン」を選択する。そしてEcho Dotを指定するだけで、Echo Dotが設置された部屋の音声を聞けるようになったのだ。設定自体は簡単であった。さらに、自宅のWi-Fi接続を切り、4G回線に接続して離れた別の場所からも同様の手順で設定できることを検証した。
=======================
コミュニケーション
このデバイスからドロップイン、通話、メッセージ、アナウンスができるよう、コミュニケーションを有効化してください。
コミュニケーション
このデバイスで有効
機能
アナウンス
有効
ドロップイン
有効
=======================
音声を認識するドロップイン機能を有効化すると、ドロップインの存在を部屋にいる人へ知らせるために、デバイスのリング状のライトが緑色に回転しながら光り、小さなベル音が鳴る。ドロップインのライトとベル音の無効化はできない仕組みだ。警戒していない人は音を聞いていないか、聞こえていてもまったく気にしていないかもしれない。多くの人が盗聴に気づかない理由は、スマートスピーカーは音を鳴らすのが役目で、「色のついたライトが常時点灯しているもの」だからだ。
また、アプリからデバイスのログを確認してみたが、残念ながらドロップインを示すログなどは残っていなかった。Echo Dotへのログインは「アクティビティ」に残っているが、ドロップイン機能の使用を記録する方法はないようだ。これでは、法的な証拠を残すのは難しいだろう。
スマートスピーカーに潜むスパイ
友人の話題に話を戻そう。Echo Dotが盗聴に使われた可能性について友人に尋ねてみると、思い当たる節があったようだ。友人のAlexaは、音を出しながら色のついたリングが回転していることがよくあり、「Amazonでの爆買い」か何かの通知だと思っていたと言う。
友人は、Alexaは特定のキーワードを認識しているだけで、パスワードを知っている誰かが盗聴しているとは夢にも思わなかったようだ。不安を感じた友人は、すぐにパスワードを変更し、Echo Dotに接続できるのは自身の携帯電話に限定した。
それ以来、友人のEcho Dotは怪しい音を鳴らしたり、意図せず光ったりすることがなくなり、今ではかなり安心していると言う。
スマートスピーカーを使った盗聴から身を守る方法
音声認識デバイスは世の中にあふれているが、盗聴に使われているとは誰も考えないのが一般的だ。しかし、犯罪者はそうした認識を覆して悪事を働くものだ。もし自宅でスマートデバイスを多用しているなら、その機能の危険性を認識しておくべきだ。
スマートスピーカーを安全に利用するために、知っておくべき重要なポイントを以下に紹介する。
・複雑で推測されにくいパスワードを常に利用する
・二要素認証を有効化する
・デバイスの設定を再確認する
・自分だけがアクセス権を持つデバイスのみ接続する
・アカウントの整理を徹底する。権限を確認し、使用していないアカウントは無効化、または削除する
・不審人物がアカウントへアクセスしていると疑いがあるときは、パスワードを変更する
・機密性の高い会話をする際は、デバイスの電源を切るか、音声認識モードを無効化する
盗聴器としてのiPhoneとAirPods
最後になるが、スマートスピーカーだけでなく、AppleのAirPodsも盗聴器として悪用できることは知っているだろうか?iPhoneの「ライブリスニング」と呼ばれるアクセシビリティ機能を有効化し、AirPodsと接続したiPhoneを部屋に置いておくだけで、その部屋の会話が盗聴できてしまうのだ。誰かが置き忘れた携帯電話が、実際には意図的に仕掛けられた「盗聴器」であると考える人はおそらく誰もいないだろう。スマートデバイスは便利だが、危険性があることも知っておいてほしい。
「What was wrong with Alexa? How Amazon Echo and Kindle got KRACKed(Alexaに何があった?Amazon EchoとKindleが受けたKRACKによる被害)(英語のみ)」
「スマートホーム機器12種の安全性チェックを実施」
「Amazon Echo and the Alexa dollhouses: Security tips and takeaways(Amazon EchoとAlexaドールハウス事件:セキュリティのヒントと振り返り)(英語のみ)」
[引用・出典元]
Alexa, who else is listening? by Jake Moore 9 Feb 2023 - 11:30 AM
https://www.welivesecurity.com/2023/02/09/alexa-who-else-is-listening/