なんとなく綴ってみた

アクセスカウンタ

zoom RSS 「人間に聞こえない音」で音声アシスタントを悪用可能……IoTで脅威も多様化する。

<<   作成日時 : 2017/09/11 09:07   >>

ブログ気持玉 0 / トラックバック 0 / コメント 0

先週公開されたCNENTの記事だが、これは、どうすれば改善されるのか?たぶん簡単にこの問題を早急に改善するのは難しいだろう。
https://japan.cnet.com/article/35106987/

<そもそもこの機能は……>

スマートフォンに搭載されている機能である。DolphinAttackを使われると、ロックスクリーンを解除しているスマホなら、人には聞き取れない周波数の音を使えば、一気に複数台を不正なサイトに誘導できるかもしれない。

これは、本当に脅威である。まあ、広いエリアでやるにはそれなりの設備が必要なため、現実的な手段ではないだろうが、問題は、これがスマートフォンにも搭載されている機能で、スマートフォンは機種によってマイクの周波数特性が異なると言うことだろう。

設置型のスマートスピーカーでは設定は簡単だが、CortanaやGoogle Assistantなどは、ハードを問わずOS(Windows/Android/Chrome)をプリインストールしたもので動作する。そのため、簡単に対処出来るとは言い難い。まあ、クラウド上で受け取った音声周波数をフィルタリングするのが一つの方法だろうが、それを搭載すると今度は、質の悪いマイクロフォンで受け取った音声認識において、認識性能が低下する可能性も否定できない。

まあ、SiriはハードがAppleに限定されているため簡単だろう。


<IoTの初物は登場2年目から3年後に脆弱性が大量に……>

まあ、この手の製品は、登場2年目〜3年後付近で沢山の問題が見つかるケースが多い。攻撃者も一通り使ってみて、ここが攻撃出来そうな部分だと理解し、攻撃手法を実証させるのが、だいたい1年経過後から3年後ぐらいまでである。

それを過ぎると、防御をする側がその準備を整える。
そこから先は、いたちごっこになるが、気になるのはディスプレイのないIoT製品はとにかく脆弱性に対してどういう対応をしたかが、明確ではないということだ。そのため、初物に興味があるとしても、昔の新しいもの好きが喜んで買っていた頃のように、ポンポン買うものでもない。

最近のIoT製品は基本情報収集システム(AI学習に使うためのデータ収集機能)が組み込まれているため、実は脆弱性があるとかなり恐ろしい盗聴器や盗撮装置にもなり得るからだ。まあ、端的に言えば、無機生命体を育てるようなものだ。その生命体が、家の中だけでは完結しないシステムに繋がっている。

私が、未来のシステムとして創造したAIは、決してこんな全部繋げちゃおうシステムではなかったが……。まあ、最も効率的なネットシステムなのだろう。
そして、IoTの一番厄介な点はこれ以外にある。システム開発者や管理者なら、予想は付くだろう。


<脆弱性対応が見えないのがIoTの恐ろしさ>

これが、ディスプレイを持つ製品で、サービスモードをもつ製品なら、コードの確認もしやすく、攻撃時のパターンも認識しやすいが、IoT製品は通信も制御も全て暗号化認証されており、さらにどういうコードが動作しているかをチェックする術もメーカーがそういうチェックツールを提供しない限り見えない。

要は、紛いなりにも版数管理(バージョン)でも見せてくれるなら、その脆弱性にすぐに対応するかどうかは別として、バージョンが変わっているんだという安心感を与える。しかし、それが見えないということは、実はサポートが年々縮小され終わっていても、それを知る術は、自分で開発元に確認に行く以外ないということになる。

だから、音声アシスタント攻撃なら、実際に音声を使ってテストし、反応したら対応が出来ていない。反応しなければ対応済みと見るしかないわけだ。

しかし、この手のテストにも問題がある。これは、アナログテストであり、デジタルで対応済みを確認する術がなく、実際には対応していなくても、テストのやり方(音量やマイクに対する音声の方向等)だけで問題ないと認識される可能性も大いにある。コードで対応が確認されているとか、部品としてこの周波数は取れないといった仕組みが保証されているわけではないからだ。


<脅威が増えるインターネット時代にセキュリティは変わらないという悪夢>

正直は話をすると、IoTなどデバイスがどんどん多様化する中で、IoTを使う人間のセキュリティ意識は実は年々下がっている。その理由は、以前は認証ステートなどにある程度の知識が必要なデバイスが多かったが、今はそれが簡単になったことと、価格が下がりあらゆる製品に幅が広がっているからだ。

しかし、その一方で特に過程におけるゲートウェイ機器などのセキュリティは十数年変わらない。むしろ、ログが表示出来ないとか、詳細なルーティングが出来ないなど、低下している製品も増えている。海外製品の台頭が著しいのは、日本製品が不甲斐ない面もある。

NECなど、何故安物しか出さなくなったのかというレベルであるし、BUFFALOもNECもWPA-Enterpriseをサポートしていない。本来なら、共通化してむしろ、WPA-Enterprise用のRADIUS/セキュリティサーバーユニットをセット販売するぐらいした方が今儲かっているだろう。
そうすれば、実はセキュリティサーバー側か、無線ユニット側に簡易NASなどの機能を与えることも出来るかもしれない。全部一つにしたから、ルータの脆弱性が全ての脆弱性に繋がるのだから……。

日本に限らず、企業は企業、家庭は家庭的な発想をするビジネスが多いが、本来は企業も家庭も結果的には同じだ。家庭が弱ければ、企業を標的にしたDDoS攻撃の対象となるホームデバイスが増える可能性もあるのだから……。


<IoTの脅威はソフトセキュリティだけではない>

まあ、私は以前も書いたがIoTデバイスというものが、スマートフォンの代わりになるとは思っていないし、過度のIoT化は結果的にアナログ回帰論を早めると思っている。

モノのインターネットというのは、進出している企業にとって今後、ダメージを増やす恐れがあるということだ。
その理由は、結局のところ利用率の割に、保守コストが高いからである。また、便利さを追求する一方で、それによって生じている代償を正確に伝えていない面も最近は否めない。セキュリティもそうだし、電力面でもそうだ。

例えば、これから売れるとされるスマート鍵で出入り出来る家、便利そうに見える。

ではもしもの時、スマホを紛失したらどうなるか、物理鍵で開くなら、正しくはスマホでも開けられる家の鍵になり、実はセキュリティレベルは著しく下がっている。鍵は合い鍵を持つ人やピッキング出来る等か開けられないからだ。
2つも鍵を付ければ、きっとピッキングで入ってくる人は減る。

スマートだけで物理鍵が使えない場合は、停電すれば家に入れない鍵である。
スマートキーの保守サポートが終わると、こうなることもある。


私は、今のスマートスピーカーやスマート音声機能に興味が無いのであれだが、使う人が少しずつ増えている間は、成長市場と呼ばれる一方で、それの購入3年経過後に便利に使っている人がどれだけいるかは気になるところだ。あれば便利だがなければないで困ることはない。そういうものだからだ。

音声アシスタントは正直、スマートフォンの中だけで十分という人も多いだろう。むしろ、脅威の多様化を考えると、スマートと名乗るIoTデバイスをどんどん発売して試すよりも、まずは家庭用のホームゲートウェイ(セキュリティサーバー兼用のルータ)でも安価に作った方が売れそうだ。WPA2-Enterpiseが扱える家庭用アクセスポイントに、もう一台RADIUSサーバーとホームゲートウェイセキュリティサーバーを組み込んだハードを無線ルータセットとして売り出せば、5万6万ぐらいのお値段でもきっと今なら爆発的に売れるだろう。

何故、そういう市場を開拓しないのかの方が私は気になってならない。
IoTにお熱になって、IoTじゃない純粋なセキュリティや、アナログでも十分使えるものに力を入れないメーカーは、後でIoTの保守が悪いことに泣くかもしれない。












テーマ

関連テーマ 一覧


月別リンク

ブログ気持玉

クリックして気持ちを伝えよう!
ログインしてクリックすれば、自分のブログへのリンクが付きます。
→ログインへ

トラックバック(0件)

タイトル (本文) ブログ名/日時

トラックバック用URL help


自分のブログにトラックバック記事作成(会員用) help

タイトル
本 文

コメント(0件)

内 容 ニックネーム/日時

コメントする help

ニックネーム
本 文
「人間に聞こえない音」で音声アシスタントを悪用可能……IoTで脅威も多様化する。 なんとなく綴ってみた/BIGLOBEウェブリブログ
文字サイズ:       閉じる