PR

WIRED WIRED

Alexaの音声履歴がハッカーに筒抜けに? セキュリティ企業の調査で見えてきたこと

 アマゾンのスマートアシスタント「Alexa」の脆弱性によって、ユーザーの音声履歴がハッカーに盗み出していた可能性があったことが明らかになった。攻撃者は悪意あるスキルをインストールすることも可能だったという。改めて浮き彫りになるのは、こうした問題に備えてユーザー側が自らのデータを管理し、必要に応じて削除しておくことの重要性だ。

TEXT BY LILY HAY NEWMAN

WIRED(US)

OLLY CURTIS/FUTURE PUBLISHING/GETTY IMAGES
OLLY CURTIS/FUTURE PUBLISHING/GETTY IMAGES

スマートスピーカーなどに搭載されているスマートアシスタントには、プライバシーに関する問題はつきものだ。しかし、大部分のユーザーにとっては安全性が十分に確保されていると考えられている。

こうしたなか、アマゾンの音声アシスタント「Alexa」の脆弱性についての新たな研究によって、スマートアシスタントが蓄積しているユーザーデータについてユーザー自身が意識し、保存するデータの量を最小限に抑えることの重要性が明らかになった。

セキュリティ企業のチェック・ポイント・ソフトウェア・テクノロジーズが8月13日に公表した調査結果によると、Alexaのウェブサービスに脆弱性が存在し、ハッカーがこれを利用して標的とする人物の音声履歴(つまりAlexaとのやりとりの録音データ)をすべて盗み出していた可能性があることが判明した。すでにアマゾンはこの欠陥を修正している。

だが、ユーザーの自宅の住所のほか、Alexaに追加した「スキル」やアプリなどのプロフィール情報も、この脆弱性によって流出していた可能性がある。攻撃者は既存のスキルを削除して悪意あるスキルをインストールし、最初の攻撃後にさらにデータを抜き出すことも可能だった。

「バーチャルアシスタントは話しかければ答えてくれるシステムであり、悪意ある利用のされ方や不安な点にはなかなか考えが及びません」と、チェック・ポイントで製品の脆弱性に関する調査部門を統括するオデッド・バヌヌは言う。「しかし、わたしたちはAlexaのインフラ構成に一連の脆弱性を発見しました。最終的に悪意ある攻撃者がユーザーに関する情報を集め、新たなスキルのインストールまで可能になるような脆弱性です」

脆弱性のあるサブドメインへと巧みに誘導

この脆弱性を悪用する攻撃者は、まず悪意あるリンクをクリックするように仕向ける必要がある。よくある攻撃の手口だ。ところが、アマゾンやAlexaの特定のサブドメインには根本的な欠陥が存在していた。このため攻撃者は、本物らしく見える通常のアマゾンのリンクを作成し、アマゾンのインフラの無防備な部分に被害者を誘い込むことが可能だった。

例えば、「track.amazon.com」(アマゾンの荷物追跡に使用されるページでAlexaには関係ないが、脆弱性が潜んでいる)にユーザーを巧妙に導くことで、攻撃者はコードを埋め込むことができた。そのコードを使ってAlexaのインフラに移動し、攻撃対象のCookie(クッキー)とともに、荷物追跡ページから「skillsstore.amazon.com/app/secure/your-skills-page」に対して特別な要求を送ることができる。

この時点でプラットフォームは攻撃者を正規のユーザーであると誤認する。そしてハッカーは、攻撃対象のすべての音声履歴やインストール済みスキルのリスト、その他のアカウント詳細にアクセスできる。ユーザーが設定済みのスキルをアンインストールすることも可能なほか、もしハッカーが「Alexaスキルストア」に悪意あるスキルをすでに埋め込んでいる場合は、対象のAlexaアカウントにそれをインストールしたりもできる状態にあった。

続きを読む

あなたへのおすすめ

PR

PR

PR

PR

ブランドコンテンツ