is702
ニュース

家庭内の会話が筒抜けに?スマートスピーカーで盗聴、フィッシング攻撃を行えることが実証される

2019/12/06

トレンドマイクロは12月4日、公式ブログで「スマートスピーカー『Google Home』や『Alexa』を悪用して盗聴やフィッシング攻撃を行う手法が実証される」と題する記事を公開しました。

それによると、ドイツのセキュリティ企業「Security Research Labs(SRL)」が、「Amazon Alexa」や「Google Home」といったスマートスピーカー向けのアプリを使った実証実験を実施し、不正行為に成功したとのことです。なお、すでにアマゾンもグーグルも、SRLが実験で使用したアプリを削除したとのことです。

この実験では、まず無害なアプリを作成し、アマゾンやグーグルに審査を依頼します。そして審査に通過したら、その後に、アプリ起動後のメッセージを変更します。通常は「ようこそ」といったメッセージを読み上げますが、これを「重要なセキュリティ更新プログラムが利用可能です。更新開始と発言してパスワードをお知らせください」といったメッセージに変更すれば、ユーザがパスワードを読み上げてしまう可能性があります。このような手順で、ユーザのアカウント認証情報や決済情報が窃取可能なことが示されました。

その他にも、たとえば「停止して(Stop)」といった音声コマンドが実行する機能を変更し、一時停止が長く続くようにし、その間の生活音を盗聴する手口もあります。さらに、一定の文言を発話した場合は、その内容を保存して攻撃者へ送信するといった変更も可能でした。

2017年には、トレンドマイクロのリサーチャーの実証実験により、Sonos社のスピーカーシステムに関して、パスワードを初期設定のままにしたり、インターネットに露出させたり、誤った設定のルータに接続させたりすることで、フィッシング攻撃や機密情報漏えいの危険性があることが判明しています。

今後、スマートスピーカー、音声入力等に対応した家庭用機器が増加するにつれ、こうした脅威の可能性も高まっていくでしょう。企業とユーザは、これらの機器、さらには使用するルータ等に対して、適切なセキュリティを施す必要があります。
利用者はルータやIoT機器のファームウェア(機器を管理するソフトウェア)を最新の状態に保つと共に、ホームネットワークにつながる機器をネットワーク上の脅威から守るセキュリティ対策製品を利用することでこのような脅威によるリスクを下げることが出来ます。トレンドマイクロでは、ホームネットワークの安全性を評価する「オンラインスキャン for Home Network」を無料で提供しています。ホームネットワークにつながっている家電や機器を表示し、それぞれのセキュリティの問題点と解決策を提示してくれます。家庭内で様々な機器を利用している方は一度スキャンしてみると良いでしょう。



※バナーをクリックするとトレンドマイクロのオンラインスキャン for Home Networkのページが開きます。

※バナーをクリックするとトレンドマイクロのオンラインスキャン for Home Networkのページが開きます。

「PC・ネットワーク」「Web」「システム」関連のエーカビジネスコラム&ブログ。
「PC・ネットワーク」「Web」「システム」関連のエーカビジネスコラム&ブログ。