日常生活においてアレクサを便利に活用されている人も多いかと思いますが、脆弱性が見つかったそうです。
アレクサの脆弱性を悪用してハッキングするAVAとはどのようなものなのでしょうか。
AVAでなにをされてしまうのかなどについて紹介していければと思います。
アレクサをハッキングするAVAとは?
AVAは、「Alexa vs Alexa」(AlexaによりAlexaを攻撃)という意味です。
ロンドン大学ロイヤル・ホロウェイ校とイタリア・カタニーナ大学の研究者らが発見したというこの攻撃。
アレクサは、音声を認識してさまざまな動作を行うことができるのですが、その音声コマンドに悪意があるかを読み取ることはできません。
今回のAVAは、アレクサデバイス自身が発した音声コマンドで自らをハッキングさせるというものです。
アレクサデバイス自身が発した音声コマンドをデバイス自身が正しく解釈する「自己発行コマンド」の脆弱性をついた悪意のある攻撃となっています。
AVAでなにができる?
ではこのAVAをすることでなにができるのでしょうか?
アレクサで操作できるもののあらゆるものがハッキングされてします。
例えば、自宅のドアのロックを解錠したり、電話をかけたり、ネットを利用して勝手にものを購入されたり、スマート家電の操作などもできてしまいます。
さらにリンクしているカレンダー情報などが盗み出せたり、盗聴などの可能性も。
こんなことが簡単にできてしまうなんて本当に怖いですよね。
2つの脆弱性
またアレクサデバイスの脆弱性として「Full Volume」「Break Tag Chain」の2つも発見されたそうです。
「Full Volume」は、自己発行コマンドの認識率を平均で2倍に高めるもので、攻撃者がさらに自己発行コマンドを効率的に実行できるようになります。
「Break Tag Chain」は、ユーザーの操作なしにスキルを実行できる時間を8秒から1時間以上に延長するもので、攻撃者は現実的なソーシャルエンジニアリングのシナリオを設定できるようになります。
このような脆弱性を利用することで、攻撃者はよりハッキングをしやすくなるとのこと。
アレクサをハッキングするAVAはどうやってやるの?
AVAを行うには、対象のアレクサデバイスにコマンドを発行させるために、そのアレクサデバイスとブルートゥースペアリングをする必要があります。
ですので攻撃者は、対象のアレクサデバイスに近接しなければならず、ペアリング後はブルートゥースの利用範囲にいなければいけません。
お気づきかもしれませんが、インターネット上から無差別に攻撃ができるというものではなく、そこそこ制約があります。
もし攻撃が判明した場合、身近の人に限られてくるのではないでしょうか。
そのためアマゾンは、この脆弱性を深刻度スコア「中」としています。
セキュリティパッチで対策
研究者たちの調査に応えてアマゾンはセキュリティパッチをリリースして、この攻撃が実行できなくなったようです。
不正な買い物であればメールが送られてくるようなのですが、個人情報を抜き取る、盗聴してデータベースに保存するなどのマスク攻撃という手口はなかなか気付けないとのこと。
またいまだに攻撃可能な脆弱性は残っているようなので、気をつけたいですね。
対策の一つとして、積極的に使っていないときにはマイクをミュートにしておくと、盗聴などを防ぐことができます。
アレクサをハッキングするAVAとは?のまとめ
アレクサは便利な反面、そういった部分につけこんでくるような悪意のある人も多いのが現実です。
人が作っているものですので、脆弱性などはどうしても生まれてしまいます。
今回のような脆弱性を知らずに、攻撃を受けてしまうとどうすればいいかわからずパニックになってしまうと思いますので、こういったものがあると認識した上で利用してみてください。