困ったー[安全編]

セキュリティで困ったことを調べたブログ

スマートスピーカー(Alexa, Line Wave, ホームアシスタント)は安全?

スポンサーリンク

アマゾンの音声コンピュータ「ECHO」の売れ行きが好調です。

しかし新しい製品だけに、今後どのようなトラブルが出てくるかは予断を許しません。

ここではスマートスピーカーと呼ばれる音声コンピュータの種類や、トラブル事例についてまとめていきます。

 

スマートスピーカーとは?

Face Off

近年音声認識の技術が格段に進歩しました。

そのため、ディプレイは一切なしで音声だけ認識するという製品が発売されました。

「音声コンピュータ」、「スマートスピーカー」「AIスピーカー」など、いろんな名称があります。

 

これを使うと、「天気」というだけで今日の天気を読み上げてくれたり、「ビートルズをかけて」というと楽曲のストリーミングが聞けたり、...としゃべるだけで何でもしてくれます。まさに電気執事といった感じでしょうか。

 

アマゾン、グーグルなどが製品をリリースしており、日本メーカーも参入する予定です。

 

仕組みは?

たいていの音声コンピュータはマイク、スピーカーを持っています。

マイクは周りの音声を常時チェックします。音データはネット上のサーバに送られます。

そして実際の音声認識はクラウド側で行われます。

 

音声コンピュータは音を拾って、ネットに送って解析されてはじめて何をいっているか分析されるというわけです。

 

 

音声コンピュータは安全?

音声コンピュータは最近出てきたばかりなので、どんな事例が出てくるかまだまだ予測がつきません。

意外な事例などをまとめていきますので、安全かどうかは各自考慮してください。

 

音声データとプライバシー

音声コンピュータの仕組みは、音声を随時聞いていてネット上のサーバ(クラウド)へ送信し音声を分析してます。

つまり音声データは絶えずネットに送られているわけです。

これがそのまま録音されているのか、すぐに破棄されているかは、対応メーカーの自主的な判断となります。つまり録音データがしばらく保存されている可能性は高いです。

 

2017年3月、アメリカでは「殺人事件の証拠になるのでは?」ということでアマゾンエコーでの音声データを提出するように依頼したということです。

 

事件の発生現場にAmazon Echoが設置されていたため、これによって当時の状況が録音されAmazonのデータセンターに転送されている可能性があるという。

出典:米警察、殺人事件の証拠として「Amazon Echo」の録音データを要求 | スラド ハードウェア

 

もちろんプライバシーにかかわることなのですぐ音声データが提供されるというわけではないでしょう。

しかし自分のしゃべっていたりするデータが知らず知らず保存されていたりすると気味が悪いです。気を付けましょう。

 

 

誤動作 

Scream

 

2017年1月、ニュースの音声で「アレクサ、私にドールハウスを注文して」と読み上げたところ、アマゾンエコーが注文の命令だと判断してオーダーを実行してしまったという話があります。

 

ことの発端はアメリカのダラスに住む6歳の女の子がアマゾンエコーに「ドールハウスとクッキーを買って」とお願いしたことだ。

 

数日後、約160ドル(約1万8千円)相当のドールハウスと2kgにもなる大量のクッキーが家へ配達されて、女の子の母親はびっくり 

出典:Amazon エコーが大失態…「ニュースの声を注文と勘違い」誤発注殺到 | ROBOTEER

 

また、ある喧嘩の最中、間違えて?警察を呼んでしまうというアクシデントが起きたとされています。喧嘩中に「警察は呼んだのか?」といったのを、警察を呼べとスマートスピーカーが認識して知ったようです。

 

スマートスピーカーのメーカーは明らかにされていないが、男性が口論の際にガールフレンドに向かって問いただした「警察は呼んだのか?」という言葉をスマートスピーカーが「警察を呼べ」と認識し、警察に電話を行ったという。

出典:スマートスピーカーが銃を持ち出しての口論を警察に通報 | スラド

 

このケースの場合、警察が来てくれたために身柄を拘束してくれるといういい方向へ進展しました。

 

このように本人の意図とは違う解釈がされてしまった結果、とんでもない事態が巻き起こる可能性もあります。

 

盗聴

AT&T TSD-3600E Telephone Security Device (Clipper Chip)

アマゾンエコーがハッキングされてしまうと、音声データが盗聴されてしまうという事態も考えられます。

 

セキュリティ専門企業のMWR InfoSecurityによると、2015年・2016年版のAmazon Echoに設計上の脆弱性が報告されており、悪意ある攻撃者がLinux OS上でルート権限を取得しシェルにアクセスしてマルウェアをインストールすることが可能とのこと。

 

これによって、そのほかのAmazon Echoの機能に何ら影響を与えることなく、ユーザーに気づかれないうちに、Amazon Echoを盗聴デバイスに変えることができます。

出典:Amazon Echoは盗聴器に改造することが可能 - GIGAZINE

 

実は旧型エコーには、デバッグ用のボタンがあります。それを操作することでマルウェアと呼ばれる悪質なソフトウェアをインストールできるというのです。

 

対策としてはマイクを使わないなどもありますが、マイクを使わないエコーは電気のない電子レンジのようなもの。あまり意味はありません。

 

ハッキング

コンピュータの場合、思いもしない方法でハッキング可能となります。

例えば、人間には聞こえないような超音波の音声でもスマートスピーカーが聞き取ってしまいます。

すると、人には聞こえないように音声をおくることができるわけです。

 

DolphinAttackと名付けられたこの手法は、人にはほとんど聞こえない20kHz以上の周波数に変換した音声コマンドを使います。

 

音声を超音波に変換する機器は3ドルもしないパーツの組み合わせで製作できたとのこと。

出典:

SiriやAlexaに「聞こえない声」で命令するDolphinAttack。知らぬ間に詐欺サイト誘導や設定変更されるかも? - Engadget 日本版

 

この方法では、使用範囲が狭いなどの制限があり、ハッキング的に実用性は高くない可能性が高いです。

しかし、絶えずこのようなハッキング手法が開発されるため、イタチごっこといえるかもしれません。

 

このブログは、ネットや書籍上の情報、個人の体験や感想を中心にまとめたものです。 正確性を期してはいますが、間違い・誤訳等あるかもしれません。 当サイトの情報によって生じたいかなる損失について一切の責任を負いませんので、 あらかじめご了承ください。