セキュリティの現場から from バラクーダラボ(284) 会話を盗聴するスマートデバイス

「個人的な会話の音声が第三者に送信される可能性がある」というSamsung SmartTVのプライバシーポリシーについて、現在もディスカッションが続いています。

このプライバシーポリシーには、「会話の音声に個人情報や機密性の高い情報が含まれている場合、その音声データが取得され、第三者に送信されます」という内容が盛り込まれています。

ただし、「第三者」が誰なのか、音声が取得される方法、タイミング、理由について具体的な規定はありません。Chris Matyszczyk氏（@ChrisMatyszczyk）はSamsungのフォローを続け、次のように説明しています。

「Samsungは、音声データを保持したり、第三者に販売することはありません。コンシューマが同意の上、音声認識機能を使用する場合、音声コマンド検索を要求すると、その間、音声データは第三者に提供されます。音声データはサーバに送信され、サーバは要求されたコンテンツを検索し、必要なコンテンツをTVに送信します。」

以上のように、処理手順は非常に単純です。堅牢性の高い音声認識機能は、リモートサーバでのデータ処理が必要です。サーバやサーバへの接続機能がない場合、音声認識は機能しません。「アクション映画を検索」というような音声コマンドを実行する場合、当然のことながらSamsung SmartTVだけでは処理できません。高い処理能力を備えたバックエンドシステムが必要です。

この件について、スティーブ・パオ（Steve Pao）に意見を求めてみました。バラクーダネットワークスのセキュリティビジネス担当GMであるスティーブは、興味深い点をいくつか指摘してくれました。

実際、これは珍しいことではありません。たとえば、スマートフォンを考えてみてください。スマートフォンには、スピーカーフォン機能、長時間バッテリ、ストレージ容量、音声認識機能、処理能力、音声およびデータネットワークアクセスなど、優れた機能が搭載されています。iPhoneに「Hey Siri」と呼びかければ、iPhoneは常に音声コマンドを受け取る設定になります。したがって、iPhoneをハッキングし、音声スニペットを音声ネットワーク（MMS）やデータネットワーク経由で送信する設定も可能なのです。Samsungは、音声がバックグラウンドでキャプチャされていることを明確に示しただけであり、「Hey Siri」で音声がキャプチャされるように、何らかの音声が偶然キャプチャされる可能性もあります。つまりこれは、優れた機能と、セキュリティ／プライバシーのトレードオフです。

データの悪用を防ぐには、ベンダの選定がカギになります。ベンダは、コンシューマのプライバシー保護に向けて適切な取り組みを行い、データがハッキングされないように適切なセキュリティ対策を講じる必要があります。また、ホワイトハットのセキュリティリサーチャやセキュリティテクノロジプロバイダに対して、通信プロトコルに透過性を持たせる必要もあります。これが、抑制と均衡を適切にコントロールできるシステム構築につながります。

一部のベンダは、仲介者攻撃のようなハッキングの対策として高度な暗号化を採用しています。その一例がiMessageです。筆者個人の意見としては、このような暗号化が今後普及するでしょう。

スマートデバイスは今後も普及を続け、コンシューマが求める機能レベルが高まるにつれてデバイスの高機能化も進みます。Samsung SmartTVは現在批判の的になっていますが、このような批判は今回が初めてではありませんし、このようなスマートホームデバイスは他にも存在します。コンシューマは、デバイスに搭載されている機能を理解する必要があります。スマートデバイスはデバイスに接続し、一心に耳を傾けているのですから。

※本内容はBarracuda Product Blog 2015年2月10日Smart enough to eavesdropを翻訳したものです。