「変なホテル」でロボットの脆弱性発覚


■「変なホテル」でロボットの脆弱性発覚

まぁ、正直遅かれ早かれ

こういった話は出てくるだろうな、

と思っていたが、

現実的に出てきたので取り上げてみる。

「変なホテル舞浜」の卵型ロボ「Tapia」に脆弱性 不正操作が可能な状況 Twitter上の指摘で発覚

変なホテル、というのは、

ホテルの宿泊に関する各種サービスを

人ではなくロボットがやってくれる、

という結構先端的な取り組みをしている

ホテルの模様。

変なホテル

泊ったことはないが、コンセプトが

興味深かったこともあり、覚えていた。

そしてまた、

セキュリティにも配慮はしているだろうが、

いずれ脆弱性の存在は指摘されるだろうな、

とも思っていた。

で、案の定、舞浜のホテルで使っている

ロボットに脆弱性が発見され、

今回ニュースとなった、というものだ。



続報によれば、

指摘された脆弱性は、

NFC 経由でロボット内のシステムにアクセスできる

というものらしい。

卵型ロボ「Tapia」、家庭用モデルにも「変なホテル」と同じ脆弱性 NFC経由で乗っ取られる恐れ

NFC はその名の通り、

Near Field Communication

なので、近場からしか攻撃が成立しない。

まぁ、Blutooth の中継増幅器を使って

数キロ先から攻撃できる、なんて

事例も公表されたりしているが、

現実的なリスクとしては、

近距離からの攻撃のみを想定すればいいため、

家庭用の方はリスク判断として

大きな問題はないと思う。

一方、ホテルに置く、となると、話は別。

家庭内とは異なり、

ある宿泊客がシステムにアクセスして

不正なアプリを入れてしまえば、

その後同じ部屋に宿泊する人の

プライバシーはないに等しいものとなる。

よって、同じ脆弱性であっても、

利用環境次第では、リスクが大きく異なる。

特に、昨今の事例からも、

・スマートスピーカー越しに誰かに話しかけられた
・見守りカメラを勝手に操作された

など、プライバシーを侵害するような攻撃は、

心理的に大きな影響を与えるため、

大きく取り上げられることが多いし、

影響も大きい。

その意味で、ホテル側として、

すべての部屋から該当ロボットを

一旦撤去した、という対応と、

ロボット開発元もすぐさま脆弱性を

修正した、というのは、

よい対応なのだと思う。



一方で、指摘者に対する対応としては、

明らかにまずかったと思われる。

指摘を受けた後、調査をしたものの、

不正操作のリスクが少ない、との判断で、

報奨金目的の不審な連絡と結論付け、

報告者と接触を絶っていた、という点だ。

指摘を受け、調査した、という所までは、

ちゃんとリスクを理解して対応されていたのだと思う。

が、まずかったのは、

1. リスクを正しく認識できなかった

という点と、

2. 接触を断ってしまった

という点だと思う。

1 に関して、自分たちで調査して

見つからなかったのであれば、

報告者に対し、

「報告感謝する。我々では見つけきれなかった。
具体的な PoC や攻撃成功の証跡などはあるか?」

と確認すればよかったのではなかろうか?

また、万が一攻撃が可能であった場合、

どういうリスクがあるか、という所も、

少し見積もりが甘かったように思える。

こういったプライバシーが侵害される系の攻撃は、

一般的に嫌悪感を抱きやすいものであり、

そのため、メディアでも非常に取り上げられやすい。

一旦取り上げられてしまうと、

「あのホテルに泊まると覗かれる!?」

みたいな、一部風評的な被害が出てしまうことも

想定しておくべきだったのだと思う。

その意味で、リスクの見積もりが少し甘かったのは

否めないように思うし、仮に指摘が正しかったら、という

前提で動くべきだったと思う。

また、2 にしても、ひとまず

「ありがとう!」

という所から始まり、敵に回さないような

コミュニケーションがとれていれば、

こういった状況にはならなかっただろう。

悪意ある攻撃者だったら、というリスクは

もちろん理解できるが、そうなったら

その際に連絡を絶つなり、

別途警察に報告するなりすればよい話。

このあたり、もう少しうまいやり方が

あったように思う。



とまぁいろいろ書いてきたが、

個人的にホテル側を非難したいわけではなく、

うーん、惜しいなぁ、

という感じ。

リスク判断やその後の対応に

疑問を抱く点はあるものの、

全体としてはちゃんと対応しようとしていたのだし、

全く何にも考えずにほったらかしに

しておいたというような、

馬鹿じゃないの?

と思える対応をしていたわけではない。

大体、脆弱性なんて

見つからないほうが奇跡的

なぐらいで、

見つけようと思ったら

大体何かしらは見つかるものだ。

よって、ホテルの方々には、

これにめげることなく、

今回の件を糧として、

さらなるセキュリティ対応の向上に

勤めてもらえれば、などと勝手に思っている。

こういったことを通じて、

いろんな業種で全体的に

適切なセキュリティ対応が

なされている世の中になればよいな、と思う。




Copyright (c) 2017 Webmaster of this site All Rights Reserved.
カテゴリー: ブログ タグ: , パーマリンク