スマートスピーカー「Google Home」や「Alexa」を悪用して盗聴やフィッシング攻撃を行う手法が実証されたことがトレンドマイクロ「セキュリティブログ」にて紹介されていた。

■その手口は

スマートスピーカーで利用されるアプリは、「Amazon Alexa」では「スキル」、「Google Home」では「アクション」と呼ばれている。
今回、ドイツのセキュリティ企業「Security Research Labs（SRL）」のリサーチャーは、これらスマートスピーカーのアプリ（スキルやアクション）を介してセキュリティ上の欠陥を突く手法を実証した。これはつまり、スマートスピーカー用不正アプリを初めて実証した実験といえる。

SRLのレポートでは、この手法を利用することで、以下の手順により、ユーザのアカウント認証情報や決済情報などの機密データが窃取可能なことが示されていた。

• 無害なアプリを作成し、Amazon社もしくはGoogle社へ審査を依頼する
• 審査通過後、アプリ起動後のメッセージをエラーメッセージに見えるよう設定を変更する。例えば「ようこそ」を「このスキルは現在お住まいの国では利用できません」といった文言へ変更。もしくは遅れて表示させて「発音不可能な文字に対応中です」といったメッセージに変更する
• さらにユーザをだますためのメッセージ変更も行う。例えば「重要なセキュリティ更新プログラムが利用可能です。更新開始と発言してパスワードをお知らせください」というメッセージに変更し、ユーザの個人情報を窃取する
• 窃取されたデータは「スロット値（ユーザの発話内容）」として攻撃者に送信される

盗聴の手口についても、SRLのリサーチャーは、情報窃取のさまざまな技術を駆使して実証した。今回の実証実験の場合、AlexaおよびGoogle Homeの「インテント」を使用していた。スロットがユーザの発話である一方、インテントとは、ユーザが発話で要求した活動内容のことを意味している。

今回実証された攻撃の場合、「停止して（英語でStop）」という音声コマンドの言葉で実行される機能が利用されている。その他、「メール（英語でemail）」、「パスワード（英語でpassword）」、「住所（英語でaddress）」のような言葉も攻撃に利用できるであろう。例えば、アプリ審査通過後、「停止して（英語でStop）」という言葉で実行される機能や「さよなら（英語でGood-bye）」で実行される機能へ変更を施し、これらの音声コマンド後、一時停止が長く続くようにする。
これにより、ユーザにアプリが終了したと思い込ませることが可能になる。その他、攻撃者が指定した言葉をユーザが発して、さらに一定の文言を発話した場合、その内容をスロット値として保存して攻撃者へ送信するような変更を施すことが可能となる。
なお、２つのスマートスピーカーの中でも、Google Homeの場合は、事前に言葉を指定する必要がなく、盗聴も無期限に実行できるため、これらの攻撃に対しては、より脆弱であると言える。

SRLは、今回実証された手法については既にGoogle社およびAmazon社に通知しており、両社ともSRLの実験で使用されたアプリ（スキルおよびアクション）を削除している。

SRLによる今回の実証実験は、IoT（モノのインターネット、Internet of Things）デバイスが脆弱性悪用やプライバシーリスクから免れないことを示す一例と言えるであろう。その他、2017年には、トレンドマイクロのリサーチャーStephen Hiltの実証実験により、Sonos社のスピーカーシステムに関して、パスワードを初期設定のままにしたり、インターネットに露出させたり、誤った設定のルータに接続させたりすることで、フィッシング攻撃や機密情報漏えいの危険性があることを示した例もある。
さらに2018年には、複数の大学のリサーチャーの共同研究により「ボイススクワッティング」の手法に関する報告もされている。ボイススクワッティングとは、タイポスクワッティングの手法に似ており、後者がURLの打ち間違いを利用して不正なWebサイトへ誘導する手法に対し、前者は、AlexaやGoogle Homeなどのスマートスピーカーデバイスにユーザが誤って発した音声コマンドを利用して攻撃者のアプリを起動させる手口である。

■被害に遭わないためには

トレンドマイクロでは、「2019年上半期セキュリティラウンドアップ」でもIoTの脅威状況を取り上げており、これまで確認された攻撃はまだ兆候に過ぎず、今後、IoTの導入が増加し続けるにつれ、この脅威の手法や標的がさらに多様化していくことが懸念されている。IoTの脅威によるプライバシーやセキュリティリスクは、ユーザの自宅だけではなく、IoTの導入が職場へ進む中、企業などのビジネスの現場にも及ぶことになるとみている。

IoTのセキュリティ対策は、協働で対応すべき責任と考える。企業とユーザは、認証情報の更新、IoT機器が使用するルータなどのアクセスポイントのセキュリティ、最新の修正パッチの適用など、それぞれの責任に応じてセキュリティ対策を講じておく必要がある。開発および配布する製品のプライバシーやセキュリティに関しては、販売事業者、製造元、サードパーティのアプリ開発者などが協働して組み込む必要がある。

■トレンドマイクロにおける対策

トレンドマイクロの「Trend Micro Smart Home Network™」を搭載したルータや、家庭用ルータを中心に構成されるホームネットワークを保護する「ウイルスバスター for Home Network」では、トレンドマイクロがクラウド上に保有するWebレピュテーションデータベースと連携し、フィッシング詐欺サイトやウイルスの配布サイトなど不正サイトへのアクセスをブロックする。また、家庭内に接続されている各デバイスへの脆弱性を悪用する攻撃をネットワークレイヤでブロックし、ルータなどの脆弱性を悪用する攻撃に対応する。

このような機能を有効活用し、安全に便利なツールを使いこなしたいものである。

本記事は、トレンドマイクロ様の許諾により「トレンドマイクロ・セキュリティブログ」の内容を元に作成しております。
ソース：https://blog.trendmicro.co.jp/archives/22976