ここから本文です

妻殺しの証拠はFitbit? IoTウェアラブルデバイスが「電子の足跡」になる日(後編)

THE ZERO/ONE 5/15(月) 15:08配信

ハッキングされてはいけない製品

ウェアラブルデバイスに限らず、「IoT製品のセキュリティ」が全般的に脆弱であるという問題は、これまで様々な専門家たちによって指摘されてきた。さらに「ユーザー個人の身体や運動に関する詳細なデータ」が第三者に盗難された場合には、どのような被害が発生するかという懸念は何度も警告された。

そのためFitbitをはじめとしたフィットネストラッカーのメーカー各社は、他のIoTデバイスのメーカーと比較すると、個人情報の漏洩を防ぐセキュリティ対策を重視してきたと言って良いだろう。フィットネストラッカーはユーザー数が多く、肌身離さず持ち歩くことを前提とした商品であり、個人の肉体に関する機微な情報を取り扱うグッズでもあるので、各メーカーは「ユーザーの個人データのセキュリティと真摯に向き合っています」という態度を強く示してきた。

しかし「老若男女が広く楽しめる身近なIoTグッズの話題」は、人々の注目を集めやすく、ハッキング実験の対象となりやすい。これまでに発表されてきたFitbitハッキングの中では、特にApvrilleの実験が有名だろう。

Fitbitを使って感染が広がる?

2015年10月、セキュリティ企業フォーティネットの著名な研究者Axelle Apvrilleが、Fitbitに存在する脆弱性の問題を同社に報告した。これは、Fitbitが初めて「研究者による報告を受けたハッキング」だったと考えられている。彼女が示した手法は次のとおりだ。
 
・まず攻撃者は、ターゲットのFitbitから「Bluetoothの通信が届く距離」の範囲にいなければならない。
・攻撃者は「悪意あるパケット」をFitbitに送り込む。この攻撃にかかる時間は、わずか10秒。
・ここで送信されるパケットは、それ自体が「のちの感染を引き起こすもの」でなければならない(つまり攻撃者には高いスキルが要求される。ただし、いったんパケットを送ったあと攻撃者が近くにいる必要はない)。
・自分のFitbitをサーバーと同期させようとするとき、そのクエリの応答は「汚染された」ものとなる。こうして、感染したFitbitに接続される他のコンピューターやモバイル機器に感染を拡散できる。
もっと詳しく知りたい方には、こちらの記事をお勧めしたい。

これはFitbitのBluetoothポートのセキュリティが脆弱であることを利用し、近距離からFitbit本体へ素早く攻撃パケットを送りつけ、そのFitbitに接続される各端末へと感染を広げるという「概念実証」だった。

この攻撃は決して簡単に実現できるものではなく、Apvrilleも実際に悪意あるコードを送り込んでPCやモバイル機器に感染を拡散させたわけではない。そしてFitbit社はフォーティネットと連絡を取り合い、この問題を前向きに確認していくと語った。そのため彼女の示したハッキングの手法が「現実社会で実際に」利用されている可能性は低い。

1/3ページ

最終更新:5/15(月) 15:08

THE ZERO/ONE