Amazon Alexa、Google Home を
使用するうえで知っておくべきリスク

2017.02.24

最近話題を集めているのが、音声で操作するインターネット接続パーソナルアシスタントです。友人数名に「クリスマスプレゼントに何もらった?」と尋ねれば、少なくとも 1 人は Amazon Echo や Google Home などのデバイスがどれほど素晴らしいかを語ってくれるはずです。


スマートホームテクノロジーを使った素晴らしいデバイスですが、リスクもあります。


データプライバシーの日(リンク先:英語)である 1 月 28 日は、そうしたリスクについて、また個人情報を保護する方法について考えるのにうってつけのタイミングです。


あなたの会話は聞かれています


スマートホームデバイスに対してセキュリティ専門家が抱く最大の懸念は、デバイスによる盗聴です。ユーザーが発するすべてのコマンドを聞いているデバイスは、他に何を聞いているのでしょうか。また、どのようなプライバシー侵害が危惧されるでしょうか。


この問題を考えるうえで興味深い事例となるのが、アーカンソー州で起きた殺人事件です。


男性が浴槽で絞殺されていたこの事件で、アーカンソー州警察は殺害現場で発見された Amazon Echo が捜査に役立つのではないかと期待しています。


Echo は「Alexa」と呼ばれると応答し、音楽を再生したり音声による単純な質問に答えたりします。さらに、ユーザーが発した言葉を記録して、サーバーに送信します。


Amazon のスマートアシスタントが音声を記録するのは「Alexa」と話しかけられてからですが、警察はこのデバイスにはラジオやテレビの音に反応して起動する(リンク先:英語)癖があるため、有用な情報が記録されている可能性があると考えています。


しかし、Amazon は他のテクノロジー企業と同様に、この種の顧客情報を捜査当局に引き渡すようよう求める圧力に抵抗しています。Amazon は、サービスの向上を目的として Echo から送信されてきた音声をサーバーに保存しています。しかし、これまでに容疑者のアカウント情報を警察に提供してきたと思われる Amazon ですが、捜索令状(リンク先:英語)で要求されている録音音声の提供は拒否しています。


捜査に役立つ情報がこの Echo に録音されているかどうかは不明ですが、この事例は、「多くの家庭で Echo/Alexa、Siri、Cortana、Google のホームアシスタントが使用されるようになり、会話に聞き耳を立て録音しているテクノロジーもあることが分かっている今、悪用される可能性はないのか」という疑問を投げ掛けています。


この事例では捜査当局がデバイスへのアクセスを要求していますが、将来的にはハッカーが録音音声を聞こうとするかもしれません。


Dyn に対する攻撃で得た教訓


パーソナルアシスタントはスマートホームの概念に適合しているため、IoT (モノのインターネット) デバイスを標的にした脅威について調査することが有益です。


セキュリティ専門家はかなり前から、一般家庭で使用されているインターネット接続デバイスが攻撃の標的になることを予測していました。そして昨年秋、インターネット接続している Web カメラなどのデバイスが Mirai マルウェアに乗っ取られて大規模なボットネットに組み込まれ、Dyn に対する組織的攻撃
に悪用される事件が発生しました (Dyn は、ドメイン名システム (DNS) をホスティングしている企業の 1 つです)。この攻撃により、Twitter、Paypal、Netflix、Reddit などの主要サイトのサービスが影響を受けました(リンク先:英語)


この攻撃は IoT デバイスを感染させ、それらのデバイスを悪用して企業を標的にするものです。盗聴とは違いますが、多くの場合、最終的な目標は同じです。攻撃者は、ユーザーがどのような個人データを持っているのかを探り、その情報に基づいて何らかの利益を得たり、目的を果たそうとします。


ほんの数年前まで、IoT に対する攻撃は遠い未来の脅威だと思われていました。それが今や現実のものとなっています。一部の専門家は、乗っ取られたパーソナルアシスタントがもたらす危険が差し迫っていると考えています。


対策


このテクノロジーを使用することを選択したユーザーは、プライバシーが 100% 守られると考えてはいけません。聞く機能が搭載されていなければ、Amazon Echo も Google Home もドアストッパーやペーパーウェイトになってしまいます。


しかし、予期せぬ結果を招かないようにユーザーにできることはあります。以下にその例をいくつか挙げます。


  • Echo を使用していないときはミュートにします。デバイスにはミュート/ミュート解除のボタンが付いています。ミュートにしておけば、ユーザーが再びオンにするまでは録音されません。

  • 重要なアカウントは Echo と関連付けないでください。複数のアカウントを関連付けたために、ユーザーが被害を受ける事例が過去に数件発生しています。

  • 古い音声は消去します。Echo を使用している方は Amazon アカウントで Amazon の Web サイトにアクセスし、[Manage my device (デバイスの管理)] の下にあるダッシュボードで個々の質問を削除したり検索履歴を一斉にクリアしたりできます。

  • Google の設定を厳しくします。Google Home を使用している方は、検索エンジン Google がデータを収集していることはご存知かと思います。しかし、Google はセキュリティを強化するためのツールを提供しています。Echo と同様に、Home もミュートボタンとオンラインの設定ページがあり、さまざまな権限を許可/拒否できます。

引用元

おすすめの記事はこちら