妻殺しの証拠はFitbit? IoTウェアラブルデバイスが「電子の足跡」になる日(後編)

江添 佳代子

May 12, 2017 08:00
by 江添 佳代子

前編はこちら中編はこちら

ハッキングされてはいけない製品

ウェアラブルデバイスに限らず、「IoT製品のセキュリティ」が全般的に脆弱であるという問題は、これまで様々な専門家たちによって指摘されてきた。さらに「ユーザー個人の身体や運動に関する詳細なデータ」が第三者に盗難された場合には、どのような被害が発生するかという懸念は何度も警告された。

そのためFitbitをはじめとしたフィットネストラッカーのメーカー各社は、他のIoTデバイスのメーカーと比較すると、個人情報の漏洩を防ぐセキュリティ対策を重視してきたと言って良いだろう。フィットネストラッカーはユーザー数が多く、肌身離さず持ち歩くことを前提とした商品であり、個人の肉体に関する機微な情報を取り扱うグッズでもあるので、各メーカーは「ユーザーの個人データのセキュリティと真摯に向き合っています」という態度を強く示してきた。

しかし「老若男女が広く楽しめる身近なIoTグッズの話題」は、人々の注目を集めやすく、ハッキング実験の対象となりやすい。これまでに発表されてきたFitbitハッキングの中では、特にApvrilleの実験が有名だろう。

Fitbitを使って感染が広がる?

2015年10月、セキュリティ企業フォーティネットの著名な研究者Axelle Apvrilleが、Fitbitに存在する脆弱性の問題を同社に報告した。これは、Fitbitが初めて「研究者による報告を受けたハッキング」だったと考えられている。彼女が示した手法は次のとおりだ。
 
・まず攻撃者は、ターゲットのFitbitから「Bluetoothの通信が届く距離」の範囲にいなければならない。
・攻撃者は「悪意あるパケット」をFitbitに送り込む。この攻撃にかかる時間は、わずか10秒。
・ここで送信されるパケットは、それ自体が「のちの感染を引き起こすもの」でなければならない(つまり攻撃者には高いスキルが要求される。ただし、いったんパケットを送ったあと攻撃者が近くにいる必要はない)。
・自分のFitbitをサーバーと同期させようとするとき、そのクエリの応答は「汚染された」ものとなる。こうして、感染したFitbitに接続される他のコンピューターやモバイル機器に感染を拡散できる。
もっと詳しく知りたい方には、こちらの記事をお勧めしたい

これはFitbitのBluetoothポートのセキュリティが脆弱であることを利用し、近距離からFitbit本体へ素早く攻撃パケットを送りつけ、そのFitbitに接続される各端末へと感染を広げるという「概念実証」だった。

この攻撃は決して簡単に実現できるものではなく、Apvrilleも実際に悪意あるコードを送り込んでPCやモバイル機器に感染を拡散させたわけではない。そしてFitbit社はフォーティネットと連絡を取り合い、この問題を前向きに確認していくと語った。そのため彼女の示したハッキングの手法が「現実社会で実際に」利用されている可能性は低い。

狙われるFitbit

より新しい話題としては今年2月、カナダのトロント大学の研究者たちが発表した「 Every Step You Fake: A Comparative Analysis of Fitness Tracker Privacy and Security 」というタイトルの論文が挙げられる。この論文はFitbitだけでなくApple、Basis、Garmin、Jawbone、Mio、Withings、Xiaomiの製品を対象として、それらのセキュリティの実装や脆弱性について研究したものだ。

彼らはApple Watchを除くすべてのフィットネスウェアに厳しい評価を下しており、特にBluetoothのセキュリティの弱さを問題視している(より詳しく知りたい方はここでPDFを読むことができる)。

他にもFitbitに関連したセキュリティの話題は、何度となく報じられてきた。たとえばFitbitの認証チェックの緩さを利用し、他者のFitbitのアカウントを乗っ取るハッキングは2013年から実証されてきた(現在では対処されている)。もっと下世話な話題としては、自分の「性的な運動」の記録を手動で追加入力しているユーザーを Googleで検索できるといった問題もあった(2011年当時、Fitbitのユーザープロファイルはデフォルトで「公開」される設定となっており、さらにサーチエンジンのクロールを避ける手段も取られていなかったため、このような検索で多くのユーザーの性的活動に関する情報を探しだすことが可能だった。もちろん現在は対処済みである)。

もっと馬鹿馬鹿しい話題としては、Fitbitでカウントされる歩数や距離の数値を「インチキで増やす」ための手法が発表されてきた。いったい何のために? と思われるかもしれないが、それらのカウントを景品と交換できるサードパーティのサービスを利用している人々にとっては気になる話題である。

実は、先述の研究者Apvrilleも「技術的な方法で」その数値の偽装に成功した研究者の一人なのだが、それよりもはるかに単純な手法で──たとえば車や自転車のタイヤと連動させる、ハムスターの滑車を利用する、あるいは飼い犬に装着するなど──により、簡単に歩数を稼ぐローテクなハッキングは何度も紹介されてきた。

それは本当に「電子の足跡」なのか

犬にデバイスを取り付けるような下らないハッキングの話題は、サイバーセキュリティと関係ない、と叱られてしまうかもしれない。しかし、ここで思い出していただきたいのは先のステッドマン検事の発言だ。彼はFitbitの記録について「人の行動を追跡できる『電子的な足跡』だ」「手早く手に入れられる情報だ」と語っていたが、それは果たして信頼に足りるデータなのだろうか?

たとえば容疑者が自分のFitbitアカウントの記録を示し、「事件の起きた時刻、私は○○公園で丸1時間のランニングをしていました」とアリバイを主張しても、そのデータは偽装されているかもしれない。ひょっとすると協力者(あるいは犬)が刻んだ記録かもしれない。A氏のユーザー情報に紐付けられた「フィットネスデータ」が、本当にA氏の動きを記録したものかどうかを見極めることはできるのだろうか。たとえできたとしても、それなりの分析が必要となりそうだ。結局、それはDNA鑑定などと同じように「時間のかかる、判断の難しい証拠」として扱われる可能性がある。

また、Fitbitユーザーの殺害を目論む人物が、「殺害する相手のFitbitの記録」をハッキングで改竄できれば、事件を迷宮入りさせる際に有効かもしれない。あるいはもっと単純に、「殺害したい相手のFitbitを事前に盗み出し、その人物に成りかわって他の人物が運動しておき、殺害のあとで遺体にFitbitを装着する」といった単純なトリックを用いれば、殺害直前の被害者の行動を推理しようとする警察に「誤ったヒント」を与えることになりそうだ。このようにして、自分が疑われにくい状況を作るためにFitbitを利用しようとする悪者が現れるかもしれない。

今後、Fitbitのデータが法廷でどのような扱いを受けるのかは予測できないが、それを「ユーザーの動きを物語るデバイス」と言い切るのはかなり乱暴だろう。現時点でのフィットネストラッカーは、その機能やセキュリティの強さから考えるに、まだまだ警察や裁判所が(あるいは保険会社などが)単純に信用できる段階には到達していないのではないだろうか。




1年に1度 ラスベガスで開催されるハッカー達のお祭りアジア勢が健闘したDEFCON 25 CTF&PHVレポート

September 19, 2017 08:00

by tessy

今年もDEF CONがアメリカ・ラスベガスで行われた。25回目の記念となるDEF CON25は昨年までのバリーズ、パリスと2つのホテルが会場となっていたが、今年はシーザース・パレスに変更され、7月27日から30日までの日程で開催された。 筆者も今回で9回目の参加であり、会場も4つ目となる。初めてDE…

46万5000台のペースメーカーに存在した脆弱性(後編)脆弱性情報は投資会社に伝えるほうが「うまくいく」のか?

September 15, 2017 08:00

by 江添 佳代子

前編記事→死に直結する医療機器のセキュリティホール Abbott Laboratories(旧St Jude Medical)のペースメーカーの脆弱性を最初に報告したのは、米国のスタートアップのセキュリティ企業MedSec Holdings(以下MedSec)だった。その発見は当時、珍しい展開のセキ…