小さなアダルトグッズを取り巻く大きな問題

2019年1月24日

ヴェルナー・ショーバー(Werner Schober)氏はSEC Consultのリサーチャーであり、オーストリアの応用科学大学の学生です。5年生のとき、彼はある悩みを抱えていました。皆さんにも経験があるかもしれません…論文のテーマを決めなければならなかったのです。

ショーバー氏は、同級生が選んだトピックスからキーワードを書き出し、タグクラウドを作ることから始めました。ビットコイン、GDPR、クラウドなど、IT関連で流行った言葉は全部ありました。しかしなぜか、昨今熱い話題であるはずのモノのインターネット(IoT)が抜けていたのです。迷う必要はありませんでした。彼の場合、SEC Consultでの仕事を通じてペネトレーションテスト(デバイスやネットワークをハッキングし、そこにある脆弱性を突き止めること)の経験をかなり積んでいましたから、論文のための調査にそれが役立つはずです。

ただし、IoTというのはかなり幅広い概念で、交通信号機から心拍数モニター、スマートティーポットまで、ありとあらゆるものが対象になります。範囲を絞らなければなりません。しかし、信号機やヘルスモニターのような重要インフラについては、すでに多数の研究が行われています。賢いポットや電球といったスマートホームのデバイスについても、すでに詳細に研究されていますが、本当に深刻な脆弱性が見つかっているわけではありません。スマート芝刈り機がDDoS攻撃に遭ったとしても、1日ほど自分で庭の芝を刈ることになるくらいです。

ショーバー氏は、IoTの中でも、これまで大々的には調査されていないが脆弱性があれば現実的な被害が生じかねないものを、サブカテゴリーとして選択しました。それは、スマートアダルトグッズです(ハッカーというのは、見てはいけないものを見るのが大好きなので、関連の研究がないわけではありませんが)。

テスト対象としたのは3種類のデバイス、中国製が2つとドイツ製が1つです。どちらが脆弱性を多く抱えていたと思いますか?さっそくネタバレすると、実はドイツ製だったのです。いや本当に!見つかった脆弱性はとても深刻で、数も多かったことから、ショーバー氏は中国製デバイスの調査を中止してドイツ製デバイスに絞り、研究結果を第35回Chaos Communication Congress(35C3)で発表しました。

このドイツ製デバイスは、Vibratissimo PantyBusterです。Bluetooth経由でAndroidまたはiOSスマートフォンに接続し、専用アプリを使ってローカルで、または別のスマートフォンからリモートで操作します。しかし、このアプリの機能はこれだけではありません。グループチャット、フォトギャラリー、友達リストなどのSNS機能を本格的に搭載しています。

ソフトウェア:アダルトグッズユーザー仲間の情報が筒抜け

ソフトウェアの脆弱性から始めましょう。Vibratissimo PantyBuster のWebサイトのルートディレクトリには、「.DS_Store」ファイルがあることが判明しました。このファイルには基本的に、ディレクトリ内にあるすべてのフォルダーとファイルのリストと、macOSがファイルアイコンやレイアウトを正しく表示させるために作成する追加設定が含まれています。ショーバー氏はこのファイルの暗号化の解除に成功し、ルートディレクトリにあるフォルダーとファイルの名前をすべて突き止めました。

特に興味深いのはConfigフォルダーでした。そこには同名のファイルがあり、データベースにアクセスするためのログイン認証情報が暗号化されていない状態で書かれていたのです。データベースに接続するためのインターフェイスを探し出し、ログイン認証情報を入力してみたところ、Vibratissimo PantyBuster の利用者全員のデータにたどり着きました。このデータには、ユーザー名、パスワード(これも暗号化なしで保存されていた)のほかに、チャット、画像、動画も含まれていました。アダルトグッズのSNSでやり取りされるチャットや画像…相当プライベートなものに違いありません。

問題はほかにもありました。アプリでギャラリーを作成すると、IDが割り当てられます。ギャラリーを閲覧しようとすると、アプリからこのIDと共にリクエストが送信されます。ショーバー氏はテスト用に猫の写真2枚を使ってギャラリーを作成し、IDを取得しました。そして、こう考えたのです。このIDを少し変えたらどうなるのだろう、たとえば1を引いてみるとか。試したところ、他人のギャラリーにアクセスできました(そこに猫の写真はありませんでした)。

また、このアプリでは、リモートからデバイスを起動するためのクイック操作リンクを作成して、ほかの人と共有できます(遠距離の関係の場合などに役立つのでしょう)。そのリンクを使用する際に、確認手順は一切ありません。デバイスがすぐに動き出すだけです。このリンクにもIDがあります。このIDから1を引いてみたらどうなると思いますか?そうです、ほかの人のデバイスが、その瞬間オンになるのです。

おまけに、スマートフォンにログインするときの認証中に、このアプリはサーバーにリクエストを送信するのですが、暗号化されていないユーザー名とパスワードがそのまま分かる平文で送られるので、パブリックネットワークで誰かに傍受される可能性があります。最新鋭のセキュリティとはとても言えません。ソフトウェアの脆弱性はほかにもありましたが、それほど深刻なものではありませんでした。しかし、ほかの部分では深刻な問題が山ほど見つかりました。トランスポートレベル(デバイスの通信)とハードウェアレベルでの問題です。

インターフェイス:見知らぬ人とランダムに接続してしまう

Vibratissimo PantyBusterは、Bluetooth経由でスマートフォンに接続します。具体的にはBluetooth Low Energyで、5つあるペアリング方法(デバイス間の接続を確立するためのパスキー交換手段)のうち1つを使ってペアリングが行われます。スマートフォンに入力するパスキーをデバイス自体に書き込む方法、ディスプレイに表示する方法、前もって決めておく(0000、1234など)方法のほか、NFCを使用してデバイス同士でパスキーを交換する方法、また、ペアリングしないというオプションもあります。

Vibratissimo PantyBuster にはディスプレイがなく、NFCも有効ではないため、ディスプレイやNFCを使う方法は使えません。残った方法のうち2つは多少安全なのですが(あくまで「多少」です)、デバイスの製造元は何よりもシンプルさを重視しているようで、ベーシックな安全性に欠けるアプローチ、つまりペアリングしない方法が採用されています。ということは、デバイスのアクティベーションコマンドを知っている誰かがコマンドを送信すると、有効範囲内にあるすべてのVibratissimo PantyBuster のバイブレーションが一斉に動作することになります。ですから、このアプリを有効にしたユーザーが、たとえば地下鉄を歩き回り、このデバイスを持ち歩いているほかの「ラッキーな」利用者を驚かせて楽しむことだってできるのです。

ショーバー氏は、周囲にある有効なBluetooth LEデバイスをスキャンし、それがアダルトグッズかどうかを確かめ、そうだった場合は電源を入れてフルパワーにするという簡単なプログラムを作成しました。念のためお知らせすると、オーストリアの法律ではこうした行為はレイプとは見なされませんが、同国の刑法には「望まない性的行為」に関する条項がありますし、他地域でも同様の法律があるかもしれません。

ハードウェア:中にあるもの

ハードウェアに話を移しましょう。まず、ファームウェアを更新するためのオプションがありません。つまり、製造元では更新できても、利用者側ではできないということです。ショーバー氏の調査内容を知らされた製造元は、利用者がデバイスを返送してくれれば更新して送り返すと提案しました。しかし、使用済みのアダルトグッズをメンテナンスのために返送するでしょうか。

次の問題点です。デバイスを開けてみると、製造元がデバッグに使用して閉じ忘れたインターフェイスが見つかります。それらのインターフェイスから、デバイスのファームウェアを抽出して分析することも可能です。

IoTのトラブルは起こり続け

30分に及ぶショーバー氏の発表は、大部分が問題点に関するもので、解決策についての話はわずかでした。その大きな理由は、解決策がない、ということでしょう。当然ながら同氏は製造元に連絡を取り、両者は協力してアプリと新しいデバイスの問題点の大部分を修正しました。しかし、すでに販売されてしまったデバイスのハードウェアレベルの問題は残されたままです。

私たちとしては、スマートデバイスに関する記事のほとんどに掲載してきた対策を繰り返すしかありません。スマートデバイスを購入する前に、オンラインでよく情報を確認すること。そして、そのスマートな機能が本当に必要なのかどうか、慎重に検討すること(少なくとも10回は考えましょう)。もしかしたら、インターネット接続せず、アプリで操作する必要もない、同じ製品の「スマートじゃない版」で十分かもしれません。その方が安く済みますし、確実に安全です。