読者です 読者をやめる 読者になる 読者になる

ぐだぐだわーくす

意識低い系目標を掲げて達成をもくろむBLOG

イヤフォンに耳ありPCに目あり、あなたはいつの間にかコンテンツになっているかもね

SmallTalk Security

【スポンサーリンク】

f:id:dacs:20170317222614j:plain:w760

家政婦は見た!ならぬ猫は見た!くらいならいいけれど

家庭に常時接続回線が入って久しいです。今はそれどころか、スマートフォンで移動している最中を含めて肌身離さずモバイルデータ通信環境を持ち歩いています。勿論それはとても便利だからです。必要な情報がいつでもどこでも手に入り、自分から発信をすることも出来ます。

でも、それは利便性だけではありません。自分が繋がっているということは、外から自分にも繋がっています。自分が利用するために使っているデバイスが、実は自分を監視し、自分を見世物にしたり食い物にしたりする首輪になっている可能性は常にある。それは確かに皆知っていることだけど、普段はあまり意識しない観点になっています。自分などはまさにそれです。

最近読者登録したBlogでこのような記事を読んで、「ああ、そういえばそうだった!」と思い出しました。

パソコンを操作してないタイミングでレンズ部分からジジジ…っと妙な音が聞こえてきたことがあるのだ。きっとリモート操作で監視されてる。今この瞬間のあられもない姿を誰かに見られている。あんなことやこんなことも。僕の全てを知らない誰かに見られているのだ。そう思い込んだ僕は、そこにガムテープを貼らずにはいられなかった。そのうす気味の悪い眼を塞がずにはいられなかった。

WEBカメラの気味の悪さ - ミニマム コラム

ガムテープでの防御は案外強い

このガムテープでカメラのレンズを塞いでしまうという手法は、見掛けコミカルな感じもするけど実は非常に効果的な物理的防御方法です。

確かに他にも防御法はあります。

  • アプリケーションで防御する
  • カメラのデバイスドライバを無効化する
  • BIOSでカメラの使用を無効化する

それぞれに有効です。ただ、最初の方法の方が悪用者としてはリモートでより付け入りやすく、後者の方は比較的手を付けにくいです。とはいえ、所詮はソフトウェアで何とかなるという意味ではリスクは相応に残ります。

一方ガムテープでの防御は物理的です。何かしらのアクチュエータがPCに装備されている訳でないなら(普通そんなものはつけていない)どんなに優れた技術者でも直接的にガムテープを外すことは出来ません。まあ海千山千の悪者は、ソーシャルエンジニアリングであなた自身がガムテープを外すように誘導したり、物理的な侵入を試みることもありえるので絶対の安全などはありません。

しかし、そこまでする程の価値を個人所有のデバイスに見込む可能性は低いし、よりソフトで美味しいターゲットがごろごろ転がっているから、ほぼ安全と見ていいでしょう。

確か有名どころでザッカーバーグもテープを貼っていたし、付箋紙を使えば必要に応じて貼ったりはがしたり出来るので融通が利きます。(BIOSで設定した日には切り替え毎に起動し直さねばならない)

ちなみに音声はもっと危ない

あまり知られていないようですが、実は音声はもっと危ないです。タイトルに「イヤフォンに耳あり」と書いてあったことに「当たり前だろう」と笑った人は認識を即座に改めた方が良いと思います。


さて、ラップトップのWebカメラはテープでふさぎ、スマートフォンは枕の下に隠し、Echoも捨てました。これでデジタル時代の盗聴に対する対策は万全…と思いきや、そうでもありません。イスラエルのベン・グリオン大学は、普通のイヤホンを盗聴器に改造できることを明らかにしています(英語資料)。

聞かれてますよ:音声アシスタントの危険性 – カスペルスキー公式ブログ


サイバー犯罪者は標的のイヤホンを盗聴器に変えて密かに音声を録音し、インターネット経由で自分のサーバーに送ることができます。実際、この方法で数メートル先の会話を、許容できる品質で録音できたという調査結果が出ています。イヤホンを身近に置きっぱなしの人をよく見かけませんか?首にかけたままだったり、近くのテーブルに置きっ放しにしていたり。

聞かれてますよ:音声アシスタントの危険性 – カスペルスキー公式ブログ

大袈裟ですか?確かに自分もイヤホンは普段から使っています。しかし、オンライン接続可能なデバイスに繋ぎ放しにはしていませんし、PCやスマートフォンの通信内容は不審なものを含まぬようある程度は監視しています。まあ、焼け石に水程度の薄い防御ですが…。

このカスペルスキー公式ブログには、他にもSiriやAmazon EchoやGoogle Homeのような音声アシスタントの意図せぬ動作、脆弱性について書かれていて面白いです。これ他人事の間は面白いと言っていられますが、勝手に注文されたり、お金を詐取されたりする事態になったら恐怖以外の何物でもないですね。幸い日本はIOT後進国なので、まだそういう被害が目に見えて報告されてはいませんけれど、アメリカで起こったことは何年後かにそっくりそのまま日本でも起きるのがいつもの流れですからね(全然先達の失敗を学習しない)。

結局どうすればいいの?

今更PCやスマホを捨てるのは現実的じゃないですよね。不便ですし…。ですので、なるべく狙われにくしておくだけです。自分より安パイで美味しいカモがいれば、悪者はそちらに喰いつくのですから、危機意識を持って情報収集してよりマシな防御に乗り換えていく。つまらない結論かもしれませんが、知っていると知らない、実行すると実行しないでは全然結果が違ってくる筈です。

f:id:dacs:20170317235911p:plain
自分はパンイチで悪者に監視されて笑われているのは我慢なりませんから、付箋もしていますよ。