スマートスピーカーは私たちの話を盗聴している!?

自宅で音声による快適なコントロールを実現するスマートスピーカーは、マイクを内蔵し、聞き取る機能によって、ユーザーの声を認識して、ユーザーが出した命令を実行します。この画期的なシステムはますます普及し、幅広い支持を得つつあります。批評家はスマートスピーカーを監視デバイスとみなしていますが、この未来的なシステムはまるでSFのような感覚を私たちの家にもたらします。

ユーザーを盗聴する脆弱性のある外部拡張機能

ベルリンのセキュリティ研究者は、最も有名である音声コントロールシステム、(「オーケーグーグル!」でおなじみの)Google Homeと(「アレクサ!」でおなじみの)Amazon Echoの潜在的な脆弱性を研究しました。GoogleもAmazonも、これらのシステムは意図的に起動されて初めて、音声の録音を処理すると、繰り返し断言しています。しかし、Security Research Labsの研究者は、両方のシステムにおいて傍受を行うことに成功しました。
支援システムの弱点は、外部プロバイダのアプリケーションです。それぞれのエコシステムは、新しい機能でシステムを拡張できるよう、外部アプリ開発者用にインターフェースを介して次々と公開されています。研究段階において、研究者はこのようなアプリを拡張して、システムを音声で起動する永続的な盗聴器に変えてしまうことに成功しました。自由に定義できるキーワードに対象を絞った盗聴も可能でした。

盗聴は始まりに過ぎず、音声フィッシングに要注意

ユーザーの監視だけでは十分ではありません。どちらのメーカーのアプリケーションも、スマートスピーカーがパスワードを積極的に尋ねるように改造することができました。セキュリティ更新がこれの典型的な例でした。セキュリティ更新を疑問に感じて、パスワードを明かさないユーザーはどれほどいるでしょうか。

ユーザーと開発者が敏感になるべき

見つかった脆弱性がメーカーに報告されると、対象となっていたアプリはすぐさま削除されました。しかし、脆弱性が完全に解消されたかどうかは分かりません。音声コントロールシステムが悪用されて、機密情報が盗み取られる恐れがあることは、依然として最悪の事態として考えられます。システムを利用することによる恩恵と潜在的なリスクを、しっかりと考慮することが非常に大切です。
セキュリティ研究者の研究結果は、悪用を防ぐためには追加のセキュリティ対策が有効であることを示しています。また、スマートスピーカーを決まった場所のみに置き、使用していない時は電源をオフにしておくことも有効でしょう。