最近は、さまざまな企業からスマートウォッチが販売されています。スマートウォッチは通話ができるだけでなく、心拍数の計測も可能ですし、(なんと!)時間も教えてくれます。でも、自分が入力した内容の読み取りに使われる可能性があることはご存知でしょうか?
これは、驚きの新事実です。
フィットネストラッカーやスマートウォッチのようなウェアラブルデバイスは、当初からセキュリティ面で懸念がありました。デバイスが集めてクラウドに送ったデータが、悪い人の手に渡ったり、最高落札者に売られたりする恐れがあるのです。
フィットネストラッカーのメーカーは、データが安全であることを利用者に納得してもらおうと必死ですが、その一方で、大量のスマートリストバンドを企業に販売しています(英語記事)。企業は、こうしたウェアラブルデバイスを使って従業員の健康状態を把握することができますが、このような形で個人情報を扱うのはいかがなものか、という感じです。とはいえ、どうやらこの問題は、フィットネストラッカーやスマートウォッチが抱える問題の中で最悪というわけではなさそうです。
アプリで健康管理している方は、いらっしゃいますか?そういうアプリは、プライバシーをあまり考慮されていないことが多かったりします。https://t.co/96FkDb9dS2 pic.twitter.com/HiuEyoBzUh
— カスペルスキー 公式 (@kaspersky_japan) October 12, 2015
Kaspersky Labのローマン・ユヌチェク(Roman Unuchek)は、1台のスマートフォンをどのフィットネストラッカーにも難なく接続できることに気づきました。そのフィットネストラッカーがすでに他のデバイスに接続されていても、です。そしてやや楽観的なコメントでこの調査を締めくくっています(英語記事)。
「犯罪者が私のリストバンドをハッキングしたところで、すべての利用者情報にアクセスできるわけではありません。利用者情報はリストバンドやスマートフォンには保存されず、公式アプリが定期的にリストバンドからクラウドに転送しているからです」
最近、コペンハーゲンIT大学の学生であるトニー・ベルトラメリ(Tony Beltramelli)氏は、利用者情報がなくてもウェアラブルデバイスの所有者を攻撃できることを実証しました(英語記事)。同氏は修士論文の研究課題の中で、スマートウォッチにアクセスできれば、所有者の動作を追跡し、テンキーに入力した記号を解読できることを示しました。
この研究では、人はそれぞれ独自の入力パターンを持つという事実を基にしています。以前、こうした個人固有の癖をセキュリティの強化に利用できると言われていた時期がありました。何かデバイスにアクセスするとき、パスワードだけでなく、所有者のキー入力パターンも認証情報として扱うという考え方です。
ベルトラメリ氏は実験で、Android Wearを搭載したSony Smartwatch 2、自作のテンキー、ちょっとした人工知能機能を持つプログラムを使用しました。このプログラムは利用者固有の入力パターンを認識し、スマートウォッチに組み込まれたモーションセンサーのデータから、実際に入力された数字へ変換することができました。実験の結果、精度は60%超でした。
なるほど、スマートウォッチがハッキングされていると、テンキーに入力したデータを知られてしまう、と。では、次にどんなことが起こるのでしょうか?
技術的には、どんな悪いことでもあり得ます。
このテンキーが、たとえばATMやクレジットカードリーダーの入力パッドだったらどうでしょう。犯罪者にクレジットカードの暗証番号がわかってしまいます。スマートフォンのロック画面であれば、犯罪者はデバイスを入手すれば暗証番号がわかるので、連絡先やメール、銀行口座のデータなど、すべての情報へ簡単にアクセスできてしまいます。
さらに、テンキーの数字を認識するソフトウェアを開発できるのであれば、そうしたソフトウェアを改良し、一般的なコンピューターのキーボードの文字を識別するソフトウェアも開発できるでしょう。そうなれば、犯罪者は入力される情報をすべて追跡できるようになり、通信内容の安全性は確保されなくなります。スマートウォッチは片方の腕に1台だけ身に付けるので、追跡可能なのはその手だけですが、たとえ片手分でも入力した情報を正確に把握することは可能です。
こうした脅威が現実のものとなっているという証拠はありません。ですが、実際にこうした脅威が存在するとなれば、遭遇せずにおきたいところです。身を守る方法はただ1つ。スマートウォッチにマルウェアがインストールされないようにすることです。
Kaspersky Labは、IoT向けセキュリティ製品を開発するスイス企業 @WISeKey と提携し、IoTデバイスを保護するテクノロジーを開発していきます。 https://t.co/IRTP3vmyV9 pic.twitter.com/IoG81akHrE
— カスペルスキー 公式 (@kaspersky_japan) January 21, 2016
ウェアラブルデバイスのセキュリティを強化する方法は、2つあります。
1. アプリはApple App Store、Google Play、Amazonアプリストアなどの公式ストアからダウンロードする。こうしたストアのアプリが100%安全であるとは限りませんが、少なくともストア運営者がチェックしており、何らかのフィルターがかけられているので、どんなアプリでも入れ込めるわけではありません。
安全と思われていたiOSアプリですが…。マルウェアに感染したアプリがApp Storeで配布されていたことが先週報じられました。https://t.co/wGMK1QHbVz pic.twitter.com/xb7In1Xs1p
— カスペルスキー 公式 (@kaspersky_japan) September 30, 2015
2. 適切なセキュリティ製品を使用する。スマートウォッチにアプリをインストールするには、まずスマートフォンにダウンロードする必要がありますが、カスペルスキー インターネット セキュリティ for Android(有料版)がインストールされていれば、その時点で自動的にアプリがチェックされます。