ロボットの身代金

2018年4月5日

さまざまな電気製品と同様、ロボットもサイバー犯罪者と無縁ではいられません。IOActiveの調査チームは昨年、SoftBank Roboticsが開発したロボットに50件もの脆弱性を発見しました。今年のSecurity Analyst Summit 2018で同チームは、このロボットがハッキングされた場合にどのようなことが起こりうるかを実演しました。なお、これらの脆弱性については開発元に報告済みですが、まだ修正されていません。

ハッキングされる可能性があるロボットたち

私たちの周りはロボットだらけです。工場や倉庫では黙々と作業をこなし、埋め立て地では力一杯働き、病院でも戦力となっています(リンク先はいずれも英語記事)。SoftBank Roboticsも、人間と共に働くロボットを提供しています。そのうちの1つ、人とコミュニケーションを取れる人型ロボットのNAO(英語)は、子供たちにプログラミングやロボット工学を紹介する役目を担うこともあれば、自閉症の子供たちの先生になることもあります。サービス業界用に開発された別モデルがおなじみのPepper(英語)で、店頭で客を呼び込んだり買い物客の相談にのったりしています。

IOActiveチームは、NAOと同じネットワークにいるだけで、このロボットを乗っ取れることを確認しました。同チームが発見した脆弱性は、ネット経由でNAOに対するコマンド送信を可能とするもので、NAOの一挙手一投足を事実上完全にコントロールできるようになります。

これらの脆弱性がいかにして悪用されるかは、以下のデモ動画をご覧ください。同チームはNAOにランサムウェアを感染させ、人間相手にBitcoinを要求するように仕向けています。これはほんの一例です。本物の犯罪者なら、想像力とプログラミング能力を駆使してさまざまな可能性を具現化することでしょう。それだけではありません。ランサムウェアに感染する可能性があるのは、NAOだけではないのです。NAOよりもビジネス寄りのPepperも同じように脆弱性を抱えていますし、その他のモデルも同様だと考えられます。

想像してみてください。ある日、ロボット教師やロボット店員が大衆の面前で突然悪態をつき始め、人々を罵倒し、ストライキを決行し、ケンカを始めたりしたら…どんなことになるやら分かりません!

ロボットをハッキングする動機

ロボットをハッキングすることで、犯罪者は何を得られるでしょうか。誰かの一日を台無しにするだけかもしれません(もしかしたら一生を台無しにしたいのかもしれませんが)。愉快犯的にしょっちゅうそんなことをする人物なら、それで十分な動機なのかもしれません。しかし、動機はもう1つあります。お金です。

利益目的というのは、実に単純な話です。ロボットを1台購入するには、たとえば1万ドル程度かかります。故障した場合には、修理か交換をしなければなりません。修理や交換には、相当な額が必要です。しかも、ダウンタイムのコストやロボットが顧客を脅迫した場合の風評被害も考え合わせると、額はさらに跳ね上がります。また、産業用ロボットがハッキングされたら、従業員の安全や製品の品質がたちまち脅かされかねません。

何らかの方法でロボットに不正アクセスした攻撃者は、問題(攻撃者自身が種をまいたものですが)をすぐに解決する方法を提示してくるでしょう。「身代金を払いなさい。それですべて丸く収まりますよ」と。しかし、ご推察のとおり、サイバー犯罪者が必ず約束を守るわけではありません。また、この脆弱性を持つロボットが後でまたハッキングされて再び身代金を要求される可能性も当然あり、同じことが延々と繰り返される可能性も否定できません。

ロボットも電子デバイスと同じ

ロボットは生活の一部です(数も増えています)から、ロボットとの接触を回避することでは解決になりません。それよりも、ロボットを使用する人、それから特にメーカーが、ロボットの弱点に敏感になることが必要です。

最先端のテクノロジーであるロボットが突如として破滅的なテクノロジーとなることがないように、ロボットの生産を開始する前、開発の段階で、セキュリティ上の問題をよくよく考慮しなければなりません。そして、ロボットを製品としてリリースした後は、報告を受けた脆弱性にすみやかに対応して修正できるように、常にアンテナを張っていることが肝要ではないでしょうか。