ベッドサイドロボの脆弱性をハッカーが発見

　「変なホテル舞浜」に設置されたアシスタントロボットの脆弱性は、海外のセキュリティエンジニアによって発見された。当該エンジニアは、すぐにホテルの運営企業であるH.I.Sホテルホールディングスに報告を行った。ホテル側はロボットの開発ベンダー（MJI）とともに調査したが、ハッキングや情報漏えいなどは確認できず。賞金目当ての連絡と思い、あえて通報者とは接触しなかったという。

　発見者は、90日たってもホテルから連絡がないとして、自身のツイッターアカウントでハッキングされたロボットの写真とともに「カメラやマイクがNFC（スマホ決済などでよく利用される近距離無線通信規格）経由のコードで制御できる」とツイートした。

It has been a week, so I am dropping an 0day.

The bed facing Tapia robot deployed at the famous Robot Hotels in Japan can be converted to offer anyone remote camera/mic access to all future guests.

Unsigned code via NFC behind the head.

Vendor had 90 days. They didn't care. pic.twitter.com/m2z6yLbrzq

— Lance R. Vick (@lrvick) 2019年10月12日

　このツイートが日本語で引用リツイートされたことで、日本でもすぐに話題となった。改めてホテルおよび開発ベンダーが調査したところ、NFC経由の脆弱性が確認され、当該ロボットのソフトウェア改修、および関連製品のオンラインアップデートが実施された。

　発見者は、脆弱性がありハッキングできることを伝えていたが、MJIにはNFCに問題があるということは伝わっていなかった。発見者は、NFC経由が一番簡単な方法だったと述べているので、問題箇所が正しく開発ベンダーに伝わっていれば、すぐに確認できたものと思われる。

　ただし、バグバウンティの場合、報酬を得る必要があるので、最初のコンタクトではあまり詳細を伝えないのがルールだ（企業側が勝手に直して報告者を無視することがあるから）。このようなルールは、連絡を受ける可能性がある企業側も、覚えておくと良い。

潜在的脅威が多様なIoT

　いずれにせよ、賞金目当てのバグバウンティを含めて、外部からの脆弱性報告の扱いは難しい。脆弱性情報についてはグローバルな枠組みがあり、一般論に言えば、しかるべき機関・組織（日本ならNISC、JPCERT/CCなど）以外からの脆弱性報告は、その信ぴょう性から疑ってかかるのは無理からぬことだ。

　事件の経緯と結果だけをみて、ホテルやベンダーの対応を批判するのは簡単だが、そこは問題の解決や自身の防衛にはあまり貢献しない。サービス提供者や開発ベンダーが教訓とすべきは、バグバウンティやソーシャルデバッグについての認識を持つことと、IoT機器の場合、PCやサーバ以上に「物理的な接触によるハッキングや汚染、攻撃に注意が必要」ということだろう。

　建物やデータセンターで守られたPC・サーバと違い、持ち歩いたり屋外に設置されるIoT機器のリスクはバリエーションが広い。この点はスマートフォンやタブレットにも当てはまる。無線LAN、Bluetooth、NFC、赤外線、USB端子、SDスロット、イヤホンジャック、電源ケーブルなど、さまざまな攻撃ベクターが存在し、それぞれが脅威を導入し得る。

　イヤホンジャックは、Androidのスマホに存在した脆弱性だ。デバッグモード用として、イヤホンジャック経由のシリアル通信が可能なバージョンがかつて存在した（現在は修正済み）。電源ケーブルをピックアップすることで、そのノイズから信号を読み取る技術も研究されたこともある。開発側は、出荷バージョンでは使わない機能はハード、ソフトともに実装しないのが鉄則だ。開発中の名残や将来的な拡張性、メンテナンス用にあえて実装する場合は、最終的な仕様チェックと対策を怠らないようにすべきだ。

IoT機器は物理的セキュリティも重要

　ユーザー視点では、「IoT製品はセキュリティ対策を施しにくい」という意識を持つことが重要となる。製品のサイズ、値段、設置場所、使用方法、目的が多様すぎて、すべての対策をまとめることが難しい。特に値段とサイズの問題は大きい。単価が安い製品は対策コストも限られる。

　端末側、エッジ側で処理できない、対策に必要なリソースを確保できない場合、一般的にはサービス提供者や開発ベンダーに、ネットワークやハブノード、クラウド上でセキュリティ対策を考えてもらうしかない。トラフィック監視やログ監視によって、不正・不審な通信、処理を検知して予防や対策につなげるといったものだ。

　これらは、ユーザー側から制御できないので、対策は提供者・ベンダー任せとならざるを得ない。

　しかし、だからといって悲観的になる必要もない。ネットワーク以外のほとんどの攻撃ベクトルは、機器本体に接近するか、直接触れるかしないと攻撃が成立しない。変なホテルのロボットの事例も、発見者は実際にこのホテルに宿泊して、実機に直接侵入している。物理的なアクセスには物理的なセキュリティで対応が可能だ。ホテルやレストランなど、入退室や利用者のスクリーニングは難しいが、IoT家電は家の中ということで一定の物理セキュリティ（入退室管理）が期待できる。


　なお、変なホテルの事例では、単にロボットのNFC機能を無効にして署名のないコードを受け付けないようにすれば良い。どちらもソフトウェア的な対策が可能なものだ。

　MJIは、すでに対策済みと発表している。また、NFCを搭載したロボットは舞浜に設置したものだけだそうだ。

【次ページ】「企業すらも脅威の1つになる」という認識