おはようございます!!
以前、こちら↓の記事を書きました。
Google Homeの品質向上の為に会話の内容を保存したり担当の社員が聞いたりしているという話でした。
この話はGoogle Homeに留まらず、Amazon EchoやApple HomePodも同様な仕組みになっていることが公になり、各メーカー共スマホの設定アプリで履歴の保存設定や消去の作業ができるようになりました。
ただ、品質向上の為とはいえ、不安ですものね。
・・・で、これはスマートスピーカーの製造メーカー側の話だったのですが、今回はその上で動作するアプリやスキルと呼ばれているプログラムです。
これらが盗聴やフィッシング詐欺の手段として使われる可能性があったということなので、わかりやすく紹介させていただきます。
アマゾンとグーグルのスマートスピーカーで盗聴が可能との指摘–対処済み (CNET Japanさん)
こちらの記事です。
スマートスピーカーはこれまでもプライバシーをめぐる懸念が指摘されてきたが、盗聴のために作られた不正なアプリがGoogleとAmazonの審査プロセスをすり抜けられることを、セキュリティ研究者らが発見した。独Security Research Labsが現地時間10月20日、Amazonの 「Alexa」やGoogleの「Googleアシスタント」を通じて会話の盗聴やフィッシングができる複数の音声アプリを開発し、その結果を公開したのだ。
大元はこちらの記事ですね。
海外の話ではありますが、こんなこと↓があったようです。
独Security Research LabsがGoogle Home、Amazonの
アプリ(スキル)を研究し、脆弱性(抜け道)を発見!
両社のスマートスピーカーで
会話の盗聴やフィッシングができる音声アプリ(スキル)を開発
アプリ(スキル)を公開審査に提出し
通過してしまったことを研究結果として報告
両社がこの内容に対して対策、回避策などをコメント
既に対策されたとはいえ、一時的にはそんなアプリ(スキル)が公開される危険性があったわけです。
では、詳細を確認してみます。
動画をわかりやすく説明!!
4つの動画が公開されてましたので、簡単に内容を書かせていただきます。
まずはAmazon EchoのAlexaスキルです。
星占いスキルを聞くとその内容を話しだすのですが、あまりに長いので途中でストップと言って中断させます。
この時点では彼女はスキルは終わっているものと思っているのですが、本当は終わっていません。思わず新聞を読み始め、うっかり独り言を言ってしまいます。
・・・ところが、Alexaスキルはまだ終わっておらず、その独り言を第三者に送ってしまうという流れです。
次はGoogle Homeのアプリです。
彼女はランダムな整数を言うアプリを立ち上げると、Google Homeは1つの整数を言ったあと「ピコン!」といって終了します・・・いえ、終了したかのように見せかけます。
この音が鳴ったことで彼女は「アプリが終わった」と思っているわけですので、何か話す度、最長30分間もの間、その言葉が第三者に送られてしまいます。
今度もGoogle Homeです。
星占いのアプリを起動しますが「あなたの国では利用できません」と言われ終わってしまいます・・いえ、終わったと思わされます。
そして、1分程経ってから「新しいアップデートがあります。スタートと言ってからパスワードを言ってください」と指示されますので、彼女はアップデートが必要と信じて言ってしまいます。
ところが、これはGoogleアシスタントが言ったわけではなく、終了してないフィッシングアプリが言ったものなので、パスワードは第三者に送られてしまいます。
最後はAmazon Echoです。先程のGoogle Homeと同じような内容です。
星占いのアプリを起動しますが「あなたの国では利用できません」と言われ終わってしまいます・・いえ、終わったと思わされます。
そして、1分程経ってから「新しいアップデートがあります。パスワードを言ってください」と指示されますので、彼女はアップデートが必要と信じて言ってしまいます。
ところが、これはAlexaのシステムが言ったわけではなく、終了してないフィッシングスキルが言ったものなので、パスワードは第三者に送られてしまいます。
恐いですね~
どうやって対策したらいいのか??
最初の2つは盗聴の危険性ということで、これまでも気をつけこられた方も多かったと思います。
ただ、いつもと違うのが「ピコン!」という反応音が鳴ったことで「終了した!」と思いこんでしまったことです。
これまでこのブログでは反応音を鳴らす設定にすることがセキュリティ対策の第1歩として書かせていただいていたのですが、100%完璧ではなかったということになります。
反応音は各アシスタントが鳴らす仕組みですが、アプリ(スキル)が偽装して鳴らしてしまうと、ユーザーは気がつきにくいと思います。(厳密には、LEDや液晶表示を見ていれば気づくと思います。)
後の2つで重要なのは、本来はAlexaやGoogleアシスタントがパスワードを聞いてくる仕組みはないことです。
・・・ただ、最近は非常に多機能になってきていますので、これらのこと↓はよくあります。
- (天気予報などで)住所を聞いてくる。(※実際には地域名)
- 課金(有料オプション)の為に購入するかどうか聞いてくる。
- アプリ(スキル)の終了後に評価を聞いてくる。
これだけいろいろ聞いてくる時代なのですから「自動アップデートの為にパスワードも聞いてくる時代なのか・・・」と思ってしまうのでは当然ですね。
これが人間なら、怪しい人の言うだけ注意すればいいのです。
現実には怪しくなさそうな人の方が多いのですが・・・
・・・ところが、スマートスピーカーの音声では『何が話しているか』なんて、誰にも見分けはつきません。
・・・とはいえ、あきらめて放置するわけにはいけませんので、
今回の問題に対して対策案を書かせていただきます。
- スマートスピーカーの反応音の設定は必ずONに設定する。
.
- 大事な事を話す際はスマートスピーカーのマイクをOFFにする。
.
- 常にLEDや液晶表示に注意し、動作している時は会話の内容に注意する。
.
- 使用中はいかなる時も、パスワードや個人情報に関することは口にしない。
そういえば、スマートスピーカーを設定する際に入力するパスワードが各社のサービスのパスワードと共通なのが痛いですね。基本的にクレジットカードなどの情報を登録しているアカウントですので、漏洩すると重大な被害になる可能性が高いです。
まとめ
対策を上に書かせていただきましたが、セキュリティ対策に100%安心はありません。
ただ、怖がっているだけでは、便利なスマートスピーカーを使い続けることはできませんので、少しでも100%に近づけるべく、安全知識を持って使いこなしたいものです。
以上です。
最後に、ちょっとだけアプリ(スキル)開発側の話を書かせていただきます。
(私のような底辺の者が申し訳ありません。>ベテラン開発者の皆さま)
実は以前から気になっていたのですが、各社の審査に提出後に公開されてからも、それらの内容(の一部)が自由に修正できる仕組みが不思議でなりませんでした。
これは普通は「ありえない」と思いますし、ある意味、重大な欠陥だと思います。
審査時にどれだけ厳密にチェックされて公開されても、その後の修正でバグや不具合、今回のような悪意ある内容が組み込まれてしまう可能性は高いです。
今回の問題も、その部分で小細工されたのが根本的な原因ではないのでしょうか?
(「Alexa-hostedスキル」は、それをさせない為の仕組みではないかと・・・)
もしかしたら、今後開発側の仕組みも変わってくるかもしれませんね。
(おわり)
