MEMSの気になる脆弱性

レーザーや音楽などのありふれた手段で、音声アシスタントやモーションセンサーを欺くことができます。

現代のデジタルデバイスは、物理的世界とのやりとりを助ける「感覚器官」を備えています。利用する側にとっては大いに便利ですが、一方で新たな脅威を生み出してもいます。それも、しばしば予想すらしなかったものを。電子センサーの機能は人間の感覚器官と似ていますが、構造や能力の点では大きく異なります。そして、デバイスの設計に当たって、この違いが考慮されているとはかぎりません。

たとえば、超音波で送るコマンドを考えてみましょう。人間には聞き取れませんが、音声アシスタントはコマンドを聞き取って従います。音声に反応するアシスタントデバイスを人の耳に聞こえない音を使ったハッキングは、かなり予測できる話です。では、光を使ったハッキングは?

光を聞く:MEMSマイクロフォンとその不具合

音声コマンドを点滅するレーザー光線に変換して音声アシスタントのマイクに当てると、音声アシスタントは光線を検知して指示内容に従う―この発見をしたのは、電気通信大学とミシガン大学の研究チームでした。同チームは、マイク付きデバイスに対して数十メートル離れたところからコマンドを送り込む実験を行いました(英語記事)。必要条件はただ1つ、レーザー光線源からマイクが直接見えることです。

レーザーを使った攻撃実験は、AmazonのAlexa、AppleのSiri、Googleアシスタントが稼働するスマートスピーカー、スマートフォン、タブレットを対象に行われました(英語記事)。攻撃はすべてのデバイスで成功しましたが、マイクが信号を検知する距離は5メートルから110メートルとまちまちでした。理論的には、レーザーが十分に強力で、適切なレンズを使っていれば、到達距離はさらに伸びるはずです。

以下のデモ動画では、Google Homeのスマートスピーカーをだまして隣家のガレージのドアを開けさせる様子を見ることができます。

なぜ、MEMSマイクは光に反応するのか

レーザー攻撃が可能なのは、デバイスに付属しているマイクの設計が原因です。小型電子機器に内蔵されている最新のマイクは、Micro Electro Mechanical Systems(MEMS)と呼ばれる、電子コンポーネントと機械コンポーネントを1つにまとめた小さな装置です。

MEMSをベースにしたセンサーは、コンピューターチップと同じ技術を使って大量生産されています。使われる材料もほぼ同じ(シリコン)で、同じくらい小型化されています(個々の部品のサイズはマイクロメートル、ナノメートル単位です)。MEMSセンサーは非常に安価でもあるので、電子工学の世界と物理的な世界が交差するところで稼働するセンサーや小型デバイスの大部分は、すでにMEMSに取って代わられています。

MEMSマイクの主な検知素子は、厚さが人毛の約100分の1という極薄の膜です。音波がこの薄膜を振動させると、薄膜とセンサーの固定部の間にある空間が拡張と収縮を繰り返します。薄膜とセンサー固定部はコンデンサーを形成しており、両者間の距離の変化が静電容量の変動に変換されます。このような変動は測定や記録がしやすく、後で音声信号へ変換することができます。

光線も同様に、感応膜を振動させる波動を生み出すことができます。いわゆる光音響効果は、19世紀後半から知られています。電話の特許で有名なスコットランド人科学者、アレクサンダー・グラハム・ベル(Alexander Graham Bell)がフォトフォン(光線を使って数百メートル離れたところと音声信号メッセージを交換するための装置。リンク先は英語)を発明したのもこの時期でした。

光音響効果は主に、光にさらされた物体が温められることで発生します。温められた物体は膨張しますが、冷えると元の大きさに戻ります。したがって、点滅するレーザー光線に当たると、物体の大きさは変化します。この変化に人間は気づきませんが、MEMSセンサーはとても小さいので、顕微鏡レベルの動きでも感知できます。MEMSセンサーは感じとった振動を音声信号に変換して記録し、これが音声コマンドとして認識可能となります。

動きが奏でる音:MEMS加速度計の音声感度

マイク以外のセンサーにも、MEMSテクノロジーを使っているものが多数あります。たとえば、ジャイロスコープや加速度計のようなモーションセンサーがそうですし、心臓ペースメーカーや自動車用エアバッグなどにもこのようなセンサーが入っています。スマートフォンやタブレットで、画面の向きをコントロールしているのもこのセンサーです。しかし一方では、思いがけない策略にさらされることもあります。

数年前、ミシガン大学とサウスカロライナ大学の研究チームが、通常は動きに反応する加速度計を音で制御する実験を行いました(英語)。

MEMS加速度計が音に反応する理由

加速度計センサーは、負荷の微細な変位を計算することで動きを検知します。音波を使ってこの負荷に揺れを生じさせることが可能なため、負荷が変動していると加速度計に思わせることができます。研究チームは、市販の加速度計20種類をテストし、その4分の3が音の影響を受けやすいことを発見しました。

実験では、Fitbitというフィットネストラッカーに偽の歩数をカウントさせることができたほか、テーブルの上に水平にして置いたスマートフォンを使ってラジコンカーを操作することにも成功しました(このラジコンカーはスマートフォンの向きに反応して動きますが、この実験では、デバイスで再生する音楽を使ってスマートフォンのセンサーを惑わせることができました)。

ヘリウムの吸入:iPhoneをノックアウト

MEMSの不具合が現れるのは、実験環境下に限りません。とある米国の病院でのことですが、新しいMRIスキャナーを設置していた従業員たちは、携帯電話が動作しなくなったことに気付きました(英語記事)。 調査の結果、問題が発生しているのはAppleのデバイス(iPhone 6以降、Apple Watch)だけであることが判明しました。犯人は、スキャナーの部品の冷却に使われた液体ヘリウムでした。一部が漏れ出して蒸発し、院内に流れ出たのです。これがAppleデバイスの動作を止めたのでした。

なぜヘリウムでiPhoneの動きが止まったのか

院内には他にもMEMSを使っているシステムがありましたが、動作に影響は出ませんでした。影響のあったApple WatchおよびiPhone 6以降では、システムクロックにMEMSが使われています。

MEMSが正常に動作するには、内部に真空がなければなりません。この真空状態を維持するため、チップは薄いシリコンの膜で「栓をされて」います。しかし、小さなヘリウムの分子がこの膜を通り抜けてチップ内にある極小共振器の正常な動作を妨げ、電子機器を狂わせた結果、iPhoneが正常に動作しなくなったのでした。

Appleは、同社の製品がヘリウムに敏感であることを認識しています。同社のユーザーガイドには、「高濃度の工業用の化学薬品(沸点に近いヘリウムなどの液化ガスなど)のある環境にiPhoneを持ち込むと、iPhoneが損傷したり、機能が損なわれる場合があります」との記載があります。しかし、これは相当なレアケースであり、こうした状況を想定する人はほとんどいません。

事件発生からしばらくすると(数日かかったケースもありましたが)、デバイスの大半は正常に戻りました。なお、iPhoneで使用されているMEMSセンサーの製造元によると、最新世代のiPhoneではこのような不具合は起きないそうです。

デバイスを大事にしよう

今回取り上げたMEMSの脆弱性はよくあることではなく、むしろ例外的です。とはいうものの、お使いのデバイスをヘリウムのボンベに近づけないことをお勧めします。念のために。

ヒント

ホームセキュリティのセキュリティ

最近では様々な企業が、主にカメラなどのスマートなテクノロジーを活用したホームセキュリティサービスを提供しています。しかし、セキュリティシステムは侵入者からの攻撃に対してどの程度セキュアなのでしょうか?