ウェアラブルデバイスも同じ脅威にさらされている

Apple Watchの発表を受けてウェアラブルデバイスへの注目度がさらに高まっています。新しいタイプのデバイスではありますが、コンピューターやモバイルデバイスといった従来型のデバイスと同じ脅威に直面しています。

Who-is-looking-thru-the-Google-Glass

かつて「ウェアラブル」(Wearable)という単語は、洋服が着やすいということを表す形容詞でしかありませんでした。今や「ウェアラブル」は、身に付けることのできるモバイルデバイスに関わる用語となり、この意味でのウェアラブルが先週、大きな話題になりました。

注目されている理由は、昨年の9月、一昨年の9月、さらにその前の9月のように、Appleが初代iPhoneを発表してから毎年繰り返されてきた新製品発表イベントが開催されたことです。今年のイベントの目玉は、Google Glass以来の待望のウェアラブル、Apple Watchかもしれません。

私の同僚のアレックス・サヴィツキー(Alex Savitsky)は、どんなタイプの人がウェアラブルデバイスに期待しているかを、Appleの新しい決済プラットフォームのセキュリティを分析した記事でうまくまとめています。私は彼のいう3つのタイプを変更して、次の4つのグループに分けたいと思います。「故スティーブ・ジョブズ(Steve Jobs)氏自身に冷たくあしらわれたかのように、Apple製品の購入をかたくなに拒む人」「愛用のMacBook Pro Retinaディスプレイモデル以外のApple製品は最悪であるという皮肉な内容のツイートやブログを投稿する人」「Apple製品を購入してから、コメント欄で『今回のApple製品もいつもどおりダメだった』という意見を見かけると、何日間も挑発的な書き込みする人」「興味深い用途がいろいろある新製品にすっかり興奮している人」。この4つです。

さて、今度はピーター・ビアードモア(Peter Beardmore)という別の同僚の言葉を、まったく異なる文脈で借りようと思います。「プレミアム」ユーザーはこうした話題の製品にお金を払いますが、Apple WatchであれGoogle Glassであれ、職場で誰からも感謝されないという愚痴を黙って聞いてくれる食洗機であれ、セキュリティを念頭に設計されているとはいえません。

Androidベースである以上、Google Glassも他のAndroidデバイスと同じ既知のぜい弱性を受け継いでいる可能性がある

問題は、こうです – 革新的なデバイスは以前から存在する脅威にさらされており、その影響をより強く受ける場合もあります。もしかすると、さらに悪いことに、革新的なデバイスが革新的な脅威に直面するかもしれません。ジョージ・オーウェル(George Orwell)の小説に出てきそうな製品名のApple Watchは、まさにそうなるでしょう。Apple Watchも他のウェアラブルデバイスも、ユーザーの行動を監視し、ユーザーに関する情報を収集して、無数の第三者企業に提供することになるでしょう。

Kaspersky LabのGlobal Research and Analysis Team(GReAT)でセキュリティとマルウェアの分析を担当するロベルト・マルチネス(Roberto Martinez)は、最近のSecurelistの記事でGoogle Glassのメリットと問題点を検証し、この問題の核心に迫りました。

「新しいデバイスと既存のデバイスには数多くの共通点があります。どちらも同じプロトコルを使用しており、同様のアプリで他のデバイスと相互接続されています。これはどうしようもありません。従来の攻撃媒介は、主にネットワーク層を対象とする中間者攻撃MiTM)や、OSのぜい弱性の悪用、またはアプリケーション自体という形をとっていました。Androidベースである以上、Google Glassも他のAndroidデバイスと同じ既知のぜい弱性を受け継いでいる可能性があります。」

マルチネスはさらに、モバイルセキュリティ企業Lookoutが発見した極めて単純な攻撃について説明しました。Google Glassがインターネットに接続する方法の1つに、特殊なモバイルアプリによって生成されたQRコードを読み取るという方法があります。Google Glassはこのコードを認識すると、自動的にネットに接続します。そのため、Lookoutは独自のQRコードを作成してGoogle Glassに読み取らせるだけで、デバイスをワイヤレスネットワークに接続することができました。つまり、犯罪者が管理するネットワークに接続してしまう恐れがあるということです。これは旧来の脅威(悪意あるQRコード)が新しいデバイスにも有効であることを示す好例です。

「リスクの発生源として考えられるのは、Google Glassのインターフェイスの操作方法です。コンピューターやモバイルデバイスと違って、「カード」を使ったナビゲーションであり、さまざまなアプリや設定をスクロールしていくため、設定のオプションが限られてしまい、場合によってはネットワークへの接続や情報の共有など、一部の手順や機能が自動化され、ユーザーによる入力操作がほとんどありません。このことが攻撃者による悪用やユーザーのプライバシー侵害につながる可能性があります」(マルチネス)

マルチネスはさらに専門的な攻撃の実験で、あるツールを使用してGoogle Glassデバイスに正規ネットワークに接続していると信じ込ませ、悪質ネットワークに接続させました。彼はこのことが、Google Glassユーザーが公共Wi-Fiに接続しようとするかどうかに関係してくると考えています。

このテストでは、対象となったブラウジング動作(Google検索などのWebサーフィン)の多くは取得時に暗号化されていたことが確認されたものの、それでもかなりの量のデータが平文で受信されていました。

「発見された平文の情報は、関連づけをして組み合わせることで、ユーザーが航空会社、ホテル、観光地のサイトを訪問したことや、デバイスがどこでどう接続されたかが十分にわかる量でした。機密性が極めて高い情報はありませんでしたが、プロファイリングに使える可能性のある情報もありました。」

マルチネスは最後に、セキュリティは層ごとのアプローチとして考える必要があると指摘しています。ユーザーのデータを保護するために、すべての層に配慮し、安全を確保しなければなりません。

「今回のケースでは、ネットワーク層が危険にさらされる恐れがあります。デバイスが公共ネットワークに接続する可能性がある一方で、VPN接続のオプションがなく、トラフィックを傍受されて解析される可能性があるからです」。マルチネスはこのように説明しました。

「今後数か月で、ウェアラブルデバイスは攻撃の次なる標的となり、ウェアラブルデバイスとその機能、扱われる情報に特別な注意を払う必要性が浮き彫りになるでしょう。」

ヒント