IoTアダルトグッズからわかる「BLE通信のセキュリティ問題」

October 18, 2017 08:00
by 江添 佳代子

ペネトレーションテストとセキュリティサービスの企業組織体「Pentest Partners」の研究者が先日、IoTのアダルトグッズの脆弱性に関する研究結果をブログで発表した。人々の注目を集めやすいグッズの話題だったためか、それは単純に面白いセキュリティニュースとして一般メディアでも取り上げられている。

しかし彼の研究は、特定の製品に存在する脆弱性をあざ笑うだけのものではない。それは数多くの「BLE対応のIoTデバイス」に共通するセキュリティの深刻な問題を、改めて明示した内容となっている。

便利なBLEだがセキュアじゃない!？

最大1Mbpsの通信と大幅な省電力を実現したBLE（Bluetooth Low Energy）の技術は、いまやIoT製品に不可欠と言ってよいだろう。1つのボタン電池で数年間稼働できるBLEは、IoTとの相性が良い。とりわけ軽量・小型化が求められる製品（たとえばフィットネストラッカーなどのウェアラブルデバイス）ともなれば、その利便性はBLEを搭載したVer4とVer3以前のBluetooth（クラシックBluetooth）とは比較にならないほど違う。

一方で、これまでに数多くのセキュリティ専門家たちは「BLEのセキュリティ上の不安」を指摘してきた。BLE通信に対する攻撃やエクスプロイトは、比較的容易だと見なされているからだ。さらに「安価なIoT製品」のメーカーの場合、最初からセキュリティを軽視して製品を開発するケースが多いため、この組み合わせは二重に危険だとの訴えもある。

実際のところ「BLEを利用するIoTデバイスのほとんどが、実装のベストプラクティスを採用していない」という話題は、数年前から伝えられていた（2015年の報道の一例）。しかし世に出回っているIoTグッズ（特に安価な製品）からは、あいかわらず同じような問題が指摘されている。つまり我々は、「軽快に動作する便利な製品が安価で買える」という利点と引き替えに、製品の安全性やユーザーのプライバシーをおろそかにしてきた、とも言えるだろう。

セキュリティ研究者が目をつけた「アダルトグッズ」とは

Pentest Partnersのセキュリティ研究者アレックス・ローマスは「BLEのセキュリティの実装が貧弱になりがちなスマートデバイスのひとつが、アダルトグッズだ」と説明している。彼のチームは、これまでにも「Wi-Fi接続のカメラ内蔵ディルドにおけるセキュリティ問題」などのユニークな研究結果を発表してきたことで知られている。

アレックスのチームが以前発表した「Vulnerable Wi-Fi dildo camera endoscope. Yes really」

そんなローマスが新しい研究対象として選んだのは、Lovenseの「Hush」だった。この製品は、専用アプリをインストールしたスマートフォンを通じて、持ち主やパートナーが遠隔地からコントロールすることを可能としたパワフルな振動型のシリコンプラグである。単刀直入に表現するなら、「バイブ機能を遠隔操作できるIoTのアナルプラグ」だ。

問題となったアダルトグッズ「Hush」

用途や形状こそ少々異なるものの、その商品のコンセプトは以前に紹介した「We-Vibe」と似ている。IoTのバイブレーター「We-Vibe」のケースでは、メーカーがユーザーの承認を得ぬまま非常にセンシティブな情報を収集していた問題が発覚し、それは訴訟に発展した。

今回のローマスの研究は、ユーザー情報の収集や扱いに関するものではなく「悪意を持った第三者が簡単にHush本体の制御を奪うことができる」という実験結果を示すものだ。こういったIoT製品をリバースエンジニアリングし、セキュリティの問題点を分析するタイプの発表はそれほど珍しくない。しかし彼の研究発表は、デバイスが第三者に操作されてしまう危険性を訴えただけでなく、「デバイスそのものの存在が現実社会で発見されてしまう可能性の高さ」についても明確に伝えた点が面白い（※1）。

実際、ローマスはベルリンを歩いていた際、BLEデバイスのスキャンツールを用いただけで（※2）「Hushが近くにあること」を知った。その状況に驚いた彼は次のように表現している。「それはまさしく、『誰からでも接続されることを待っている、準備万端のプラグHush』を公共の路上で見つけたということだ」

Pentest Partnersのブログ記事「Screwdriving. Locating and exploiting smart adult toys」に掲載されたタイトル画像

このブログ記事に掲載されたタイトル画像を見ると、まるで面白おかしいコンテンツにしか見えないかもしれない。しかし彼の研究は「BLEの問題」を臨場感たっぷりに伝えるものだ。たとえばBLEのビーコンのプロトコルは、デバイスの動き、あるいは製品に関する情報などを一定の距離の範囲内で拾い上げ、その場所を追跡することを可能としている。したがって、その製品が適切なセキュリティを実装していなければ、本体のストーキングは非常に容易となる。そしてデバイスによっては──たとえば今回のHushの場合も──、明確な意図を持ったハッカーの手にかかれば、「ご近所で製品を見つけ出し、悪用すること」も可能になってしまう（※3）。
　
※1…彼のチームは、Hushの捜索活動とエクスプロイトの研究を「Bluetoothのアダルトグッズ狩り」と呼び、その作戦に「Screwdriving」という名前をつけている。直訳すると「ねじこみ」。
※2…このとき彼は、BLEスキャナーのiOSアプリ「Lightblue」を立ち上げただけだった。
※3…彼のチームが製品のリバースエンジニアリングに用いたのは、一般的に利用されているネットワーク分析ソフトウェアWiresharkと、BLEスニファーのハードウェアBluefruit、およびラップトップに繋ぐためのBluetoothドングルだった。スニファーについては、お気に入りの製品で構わないと記されている。なお、このようなハードウェアは誰でも簡単に買える。

セキュリティへの配慮が足りないアダルトグッズ業界

Hushのセキュリティには、いくつもの基本的な問題がある。まずHush本体とアプリの間で行われる通信が暗号化されていないため、ローマスはそのパケットを簡単に傍受することができた。さらにHushはPINコードやパスワードによる保護がないままペアリングのリクエストを受け付けてしまうので、第三者による乗っ取りが比較的容易だった（※4）。

そして、先に挙げたリモート検出の問題がある。すべてのHushのBLE通信は、デバイス名が「LVS-Z001」に設定されているので、ローマスはそれを路上であっさり発見することができた。BLE接続のデバイスは、ユーザーに発見してもらうために「自分がいること」を知らせようとするが、その名前が常に同じであれば、Hushの仕様を知っている人物にとっては「脆弱なアナルプラグがここにいますよ」という自己紹介になってしまう。

「LVS-Z001」と表示されるため一発で見分けられる。Pentest Partnersのブログ記事より

しかし繰り返しになるが、これらのセキュリティの欠陥はHush単体だけの問題ではない。ローマスは、彼がこれまでに研究してきた「すべてのIoTのアダルトグッズ」が、PINコードやパスワードの保護を持っていなかった、あるいは設定されているPINが0000や1234などの単純なものだった、と説明している。

「これらの問題について語ることによって、（うまく行けば）アダルトグッズ業界は製品のセキュリティを改善するだろう」「大人のおもちゃが予期せぬ状況で振動を始めたなら、非常に恥ずかしい状況になる可能性があるのだから」とローマスは記した。そんなものは取るに足らない問題だと笑う方もいるかもしれない。しかし彼の研究発表は、現実社会で、いまそこにある危険を端的に示したメッセージだ。
　
※4…とはいえアナルプラグの本体に「文字入力のための装置」を実装することは容易ではないだろう。ローマスは、その点を「課題（Challenge）」と表現している。

アダルトグッズだけではない「IoT製品」の問題点

IoTのアダルトグッズは「安全性を軽視しがちなIoT製品群」のほんの一例に過ぎない。セキュリティの甘いIoT製品はエクスプロイトが可能・容易であることは、もはや周知の事実だ。そうであるにも関わらず、猛烈な勢いで増え続けているIoT製品からは、本体や通信のセキュリティが貧弱すぎるもの、収集したユーザーデータを適切に扱っていないもの、あるいはユーザーのプライバシーを重視せずに無断で情報収集を行うものなどが次々と見つかっている。

この問題は「アダルトグッズや、その他の安価なIoT製造業界全体におけるセキュリティ意識の欠陥」というより、むしろ「IoT製品の流通における監査の不足」の問題ではないだろうか。安直で脆弱なIoT製品を販売できないようにするための厳しい審査がないまま、メーカー各社に適切で強固なセキュリティの実装を期待することは、もはや無理難題なのかもしれない。