ESETでは、スマートホームを実現する機器を7社12製品選び出し、セキュリティチェックを行った。結果、さまざまな脆弱性が見つかり、しかも1製品は深刻だった。特に問題となるのは、音声アシスト機器である。個人情報が外部に漏れる恐れがあり、それに対する十分な対策が取られていなかった。
この記事は、ESETが運営するマルウェアやセキュリティに関する情報サイト「Welivesecurity」の記事を翻訳したものである。
「IoT」(モノのインターネット)は普通、サーモスタット(=温度調節器)や電灯のスイッチ、コネクテッド・カー、子供のインタラクティブ玩具のような、ネットワークにつながった便利な機器を指す。
確かにIoTは、日常のデジタルライフをさらに便利にしてくれる素晴らしい発明である。だがプライバシーを守るという点からすると、IoTは果たして安全と言えるだろうか。
ESETの研究チームは、今市場に出回っているIoTの人気製品に着目した。今日の一般家庭にあってもおかしくなく、しかもネットにつなげられるものばかりである。これらの製品が安全に使えるのであれば、まずはベーシックな「スマートホーム」を作ることができるはずだ。
今やSF物語でネット接続と「スマートホーム」というアイデア自体が物語の中心に据えられることはまれで、それらはせいぜい物語の背景になっているだけである。つまり今日のIoTは、「スマートホーム」を実現可能にしただけではなく、ある点では「常識」化しつつあると言えるだろう。
とはいえ、本当にわが家を「スマートホーム」にすることは可能なのだろうか。実際、ネットに接続した居住空間を作ろうとすると、さまざまな問題がわき出てくる。最も基本的な「スマートホーム」を設定したとしても、すぐさま解決しなければならない課題が立ちはだかる。その1つは、どうしたら異なるメーカーの製品をお互いにつなげて機能させ、(できるだけ)調和のとれた統一感のある使い勝手を実現できるか、というものである。
そこで、自分の家庭でネット接続生活の便利さを満喫したいと考える人々に向けた一種の「スターターキット」を作るために、必須と思われるIoT機器を何台か購入した。また、仮想パーソナルアシスタントも手に入れた。この機器は、人が言葉で発する命令を理解し、先に買った機器の大半をコントロールできる。実際のところ「スマートホーム」を実現するためには、この種の機器がなくてはならず、これにほかのIoT機器を随時追加していき、機能を充実させるのが常道だ。
プライバシーに関する懸念
一番の問題は、「どうしたらプライバシー侵害を起こさないスマートホームを作れるか」だった。
この点、家庭のIoT機器は常に個人情報を収集してしまう恐れがある、という心配があった。もちろん、ほとんどのIoT機器やIoTサービスには基本的な個人情報が必要である、ということは分かる。ところが、心配になる部分だが、プライバシー規約を読んでみると、メーカーはしばしば「……に限らない」という言葉を使っており、機器がそこに書かれている以外の情報を収集する可能性が示唆されているのである。
研究チームはベンダー7社、12台の製品をテストした。そこには、重大な脆弱性が発覚したため最終報告に載せなかった製品も1台、含まれている。ESETはセキュリティ企業として、責任ある情報開示を行う姿勢、またIT業界の相互に助け合い協働する性格を推し量り、当該企業に同社機器の欠陥の詳細を通知すると同時に、このベンダーが問題点を修正するまでその公表を差し控えることに決めた。
テストされた機器はそれぞれ、いくつかのプライバシー上の問題を引き起こしたが、最も重大な懸念をもたらしたのは、音声に反応する知的アシスタントの役割だった。ほかにもいろいろあるが、データが商業サービスに横流しされる恐れ、保存された個人データの保護が不十分、サイバー犯罪者や悪人にデジタルトラフィックを傍受される恐れ、などの懸念が認められたのだ。
安全な「スマートホーム」は作れるか
答えは……その可能性はある。「絶対に安全だ」もしくは「どんな脆弱性も免れている」という保証の付いた機器やソフトウエアなど存在しない。しかし、自社製品に脆弱性が見つかったとき、会社がどのような対応を取るかが問題である。企業のセキュリティ意識が試され、審判されるのは、まさにそこである。テストされた機器のうち、幾つかのものに脆弱性が見つかったが、それらは新しいソフトウエアとファームウェアによる迅速な処置が行われた。脆弱性が迅速に修正されないか、全く修正できない場合は、別の類似製品をすすめるのが適切な対応である。とはいえ、このように健全な判断と用心さえあれば、ベーシックな「スマートホーム」をスタートさせることは可能だろう。
結論
そもそもこのプロジェクトの目標は、ベーシックな「スマートホーム」を作って、最終的にそれを昔ながらの典型的な家庭そっくりに仕上げることだった。私たち研究チームは最初、「もし何一つ問題がなかったらどうしようか」と心配したものだ。残念ながら、それは杞憂にすぎず、ここに記した結論は、当初私たちが思い描いていたものとは違ってしまった。
家庭生活や個人の健康、そして、企業、いずれにおいても、自分たちだけのために利用するはずのデータの利用法は、まだまだ今後さまざまな可能性がある。だが同時に、プロバイダーによって収集されているため、何が起こるか分からない。それらが引き起こし得る結果については十分に議論がなされた上で初めて、実用化されねばならないだろう。
なお、テストされた機器の全機種リストおよび各製品のより技術的な詳細説明については、ホワイトペーパー「スマートホーム設計におけるIoTとプライバシー」(英文)を用意している。
