おもちゃのロボット　脆弱性で「のぞき」のリスク

当社の専門家が最近、人気のあるおもちゃロボットのセキュリティを調査し、複数の脆弱性を発見しました。攻撃者がこれを悪用すると、ロボットにビデオ通話をかけたり、保護者のアカウントを乗っ取ることや、場合によっては不正に改ざんされたファームウェアをアップロードすることも可能です。今ブログでは、この問題について詳しく説明します。

おもちゃのロボットでできること

調査対象となったおもちゃのロボットは、スマホやタブレットと、移動用の車輪が付いたスマートスピーカーを組み合わせたような製品です。このロボットには手足がないため、周囲の環境と物理的に対話するためには家の中をさまよう必要があります。

このロボットには大型タッチスクリーンがついており、コントロールUIや子ども向けのインタラクティブな学習アプリ、生き生きとした漫画のキャラクターのような顔を表示します。そして、ロボットの顔の表情は状況に応じて変化します。また、ロボットはボイス（音声）コマンドで操作できますが、一部の機能はそれには対応していないため、時にはロボットを捕まえて画面の顔内蔵スクリーンを少し突っつく必要があります。

内蔵マイクと音量がやや大きいスピーカーに加えて、画面の真上には広角カメラが設置されています。このおもちゃの魅力は、外出している保護者がロボットを介して子どもたちと直接ビデオ通話をすることができる点です。

正面の画面と車輪のほぼ中間には、ロボットが家の中の物と衝突するのを回避するための光学式物体認識センサーが付いています。障害物の認識はメインカメラから完全に独立しているため、開発者は、メインカメラを完全に覆える便利な物理シャッターを追加しました。

つまり、カメラを通して自分や子供をのぞき見されないか心配になったら、このシャッターを閉じればよいのです。また、内蔵マイクを通して盗聴されていないか心配な場合は、ロボットの電源を切ればよいのです。ただし再起動にかかる時間を考慮すると、これはスリープモードではなく正真正銘のシャットダウンです。

ご想像のとおり、保護者がロボットを操作し、監視するためのアプリもあります。そして、もうお気づきかと思いますが、すべてがインターネットに接続されており、内部には多数のクラウドサービスが使用されています。技術的な詳細については、Securelistに公開したセキュリティ調査の完全版をご覧ください。

いつものことながら、システムが複雑になればなるほどセキュリティホールが存在する可能性も高くなり、誰かがそれを悪用して悪事を企てる恐れがあります。当社の専門家がロボットを詳しく調査した結果、私たちは複数の深刻な脆弱性を発見しました。

不正なビデオ通話

この調査で私たちが最初に発見したのは、悪意のある攻撃者がどのロボットにもビデオ通話をかけられるということです。メーカーのサーバーは、ロボットのIDと保護者のIDの両方を持っている人にビデオセッショントークンを発行しました。ロボットのIDは総当たり攻撃で難なく調べることが可能でした。どのロボットにも、本体に印字されたシリアル番号と同様の9桁のIDがあり、最初の2桁はすべてのユニットで共通しています。一方、保護者のIDは、ロボットのIDと共にリクエストをメーカーのサーバーに送信することで取得でき、認証を求められることはありませんでした。

したがって、誰でもいいから通話をしたいと思えば、攻撃者は、特定のロボットのIDを推測するか、無作為のIDを取得してゲーム感覚でハッキングをすることができます。

保護者アカウントの完全な乗っ取り

採用していたシステムは、ロボットのIDさえあれば誰でも多数の個人情報をサーバーから取得することが可能でした。これには、IPアドレス、居住国、子どもの名前、性別、年齢に加え、保護者アカウントの詳細情報（保護者のメールアドレスや電話番号、保護者のアプリをロボットとリンクするコードなど）も含まれています。

これは、保護者アカウントの完全な乗っ取りというはるかに危険な攻撃が可能であることを示しています。悪意のある攻撃者は、次の簡単な手順を踏むだけで攻撃を実行できたのです。

• まず、以前取得したメールアドレスまたは電話番号を使用して、自分のデバイスから保護者のアカウントにログインします。認証には6桁のワンタイムコードを送信する必要がありましたが、ログイン試行回数が無制限なので、簡単な総当たり攻撃で完了します。
• ワンクリックだけで、ロボットが保護者アカウントから切り離されます。
• 次に、ロボットを攻撃者のアカウントにリンクします。アカウントの認証は前述のリンク用コードに依存しているため、サーバーはすべての訪問者にコードを送信します。

攻撃が成功すると、保護者はロボットへのアクセスを完全に失い、アクセス権を取り戻すには技術サポートに連絡する必要があります。その場合でも、攻撃者が必要とするのはロボットのIDだけで、これは変更されないため、彼らはプロセス全体を繰り返すことができます。

改ざんしたファームウェアのアップロード

最後に、ロボットのさまざまなシステムがどのように機能するのか調べたところ、ソフトウェアの更新プロセスにセキュリティ上の問題があることがわかりました。アップデートパッケージにデジタル署名が含まれておらず、ロボットはメーカーのサーバーから受信した特別なフォーマットのアップデートアーカイブを、最初に検証することもなくインストールしました。

これがアップデートサーバーを攻撃する可能性を開きます。アーカイブを改ざんしたファイルに置き換え、悪意のあるファームウェアをアップロードします。これにより、攻撃者はスーパーユーザー権限を使用してすべてのロボット上で任意のコマンドを実行できるようになります。理論的には、攻撃者はロボットの動きを操作したり、内蔵カメラやマイクを使ってスパイ活動をしたり、ロボットに電話をかけたりできるようになります。

身を守る方法

当社の専門家が発見した問題について、おもちゃロボットの開発者に報告したところ、彼らは問題を修正するための措置を講じました。上記の脆弱性は現時点ですべて修正されています。

最後に、さまざまなスマートガジェットを安全に使うためのヒントをいくつかご紹介します。

• スマートデバイス（おもちゃも含む）はどれも、一般的に非常に複雑なデジタルシステムであり、多くの開発者はユーザーデータを安全に信頼性の高い方法で保存することができていません。
• デバイスを購入するときは、他のユーザーのレビューをよく読みましょう。セキュリティに関する報告があればそれも読むようにしましょう。
• デバイスに脆弱性が見つかったからと言って、そのデバイスが劣るわけではないということです。こういった問題はどこでも見つかるものです。注目すべきなのはメーカーの対応です。問題がすべて修正されたら良い兆候、無関心に見えるのは良くない兆候です。
• スマートデバイスによるのぞき見や盗聴を避けるため、使用していないときはデバイスの電源を切り、カメラのシャッターを閉じるかテープを貼ります。
• 最後に、言うまでもなく、信頼できるセキュリティソリューションで家族全員のデバイスを保護する必要があります。おもちゃのロボットのハッキングは確かに珍しいタイプの脅威ですが、他のオンライン脅威に遭遇する可能性は今でも非常に高いままです。