スマートウォッチが現実の悪夢に変わるとき

2016年2月5日

最近は、さまざまな企業からスマートウォッチが販売されています。スマートウォッチは通話ができるだけでなく、心拍数の計測も可能ですし、(なんと!)時間も教えてくれます。でも、自分が入力した内容の読み取りに使われる可能性があることはご存知でしょうか?

これは、驚きの新事実です。

フィットネストラッカーやスマートウォッチのようなウェアラブルデバイスは、当初からセキュリティ面で懸念がありました。デバイスが集めてクラウドに送ったデータが、悪い人の手に渡ったり、最高落札者に売られたりする恐れがあるのです。

smartwatch-numpad-featured

フィットネストラッカーのメーカーは、データが安全であることを利用者に納得してもらおうと必死ですが、その一方で、大量のスマートリストバンドを企業に販売しています(英語記事)。企業は、こうしたウェアラブルデバイスを使って従業員の健康状態を把握することができますが、このような形で個人情報を扱うのはいかがなものか、という感じです。とはいえ、どうやらこの問題は、フィットネストラッカーやスマートウォッチが抱える問題の中で最悪というわけではなさそうです。

Kaspersky Labのローマン・ユヌチェク(Roman Unuchek)は、1台のスマートフォンをどのフィットネストラッカーにも難なく接続できることに気づきました。そのフィットネストラッカーがすでに他のデバイスに接続されていても、です。そしてやや楽観的なコメントでこの調査を締めくくっています(英語記事)。

「犯罪者が私のリストバンドをハッキングしたところで、すべての利用者情報にアクセスできるわけではありません。利用者情報はリストバンドやスマートフォンには保存されず、公式アプリが定期的にリストバンドからクラウドに転送しているからです」

最近、コペンハーゲンIT大学の学生であるトニー・ベルトラメリ(Tony Beltramelli)氏は、利用者情報がなくてもウェアラブルデバイスの所有者を攻撃できることを実証しました(英語記事)。同氏は修士論文の研究課題の中で、スマートウォッチにアクセスできれば、所有者の動作を追跡し、テンキーに入力した記号を解読できることを示しました。

この研究では、人はそれぞれ独自の入力パターンを持つという事実を基にしています。以前、こうした個人固有の癖をセキュリティの強化に利用できると言われていた時期がありました。何かデバイスにアクセスするとき、パスワードだけでなく、所有者のキー入力パターンも認証情報として扱うという考え方です。

ベルトラメリ氏は実験で、Android Wearを搭載したSony Smartwatch 2、自作のテンキー、ちょっとした人工知能機能を持つプログラムを使用しました。このプログラムは利用者固有の入力パターンを認識し、スマートウォッチに組み込まれたモーションセンサーのデータから、実際に入力された数字へ変換することができました。実験の結果、精度は60%超でした。

なるほど、スマートウォッチがハッキングされていると、テンキーに入力したデータを知られてしまう、と。では、次にどんなことが起こるのでしょうか?

技術的には、どんな悪いことでもあり得ます。

このテンキーが、たとえばATMやクレジットカードリーダーの入力パッドだったらどうでしょう。犯罪者にクレジットカードの暗証番号がわかってしまいます。スマートフォンのロック画面であれば、犯罪者はデバイスを入手すれば暗証番号がわかるので、連絡先やメール、銀行口座のデータなど、すべての情報へ簡単にアクセスできてしまいます。

さらに、テンキーの数字を認識するソフトウェアを開発できるのであれば、そうしたソフトウェアを改良し、一般的なコンピューターのキーボードの文字を識別するソフトウェアも開発できるでしょう。そうなれば、犯罪者は入力される情報をすべて追跡できるようになり、通信内容の安全性は確保されなくなります。スマートウォッチは片方の腕に1台だけ身に付けるので、追跡可能なのはその手だけですが、たとえ片手分でも入力した情報を正確に把握することは可能です。

こうした脅威が現実のものとなっているという証拠はありません。ですが、実際にこうした脅威が存在するとなれば、遭遇せずにおきたいところです。身を守る方法はただ1つ。スマートウォッチにマルウェアがインストールされないようにすることです。

ウェアラブルデバイスのセキュリティを強化する方法は、2つあります。

1. アプリはApple App Store、Google Play、Amazonアプリストアなどの公式ストアからダウンロードする。こうしたストアのアプリが100%安全であるとは限りませんが、少なくともストア運営者がチェックしており、何らかのフィルターがかけられているので、どんなアプリでも入れ込めるわけではありません。

2. 適切なセキュリティ製品を使用する。スマートウォッチにアプリをインストールするには、まずスマートフォンにダウンロードする必要がありますが、カスペルスキー インターネット セキュリティ for Android(有料版)がインストールされていれば、その時点で自動的にアプリがチェックされます。