by ibmphoto24

セキュリティサービス企業・IOActiveが発表したレポートによると、6つの企業が販売する家庭用および産業用ロボットから重要なセキュリティ上の問題が見つかったとのこと。リストの中にはソフトバンクの感情を持つロボット「Pepper」も含まれています。

(PDFファイル)Hacking Robots Before Skynet

http://www.ioactive.com/pdfs/Hacking-Robots-Before-Skynet.pdf

That Cool Robot May Be a Security Risk - The New York Times

https://www.nytimes.com/2017/03/01/technology/that-cool-robot-may-be-a-security-risk.html



セキュリティ上の問題が見つかったのは以下の企業のロボット。

ソフトバンクロボティクスNAOPepper

UBTECH RoboticsAlpha 1SAlpha 2

ROBOTISROBOTIS OP2THORMANG3

Universal RobotsUR3 ロボットUR5 ロボットUR10 ロボット

Rethink RoboticsBaxterSawyer

アスラテックV-Sidoテクノロジーを搭載した複数のロボット

見つかった脆弱性は50件近い数ですが、重要なのは、研究者が行ったテストは大きな投資やリソースを必要とするディープなものではなく、非常にシンプルで初歩的なものだったということです。なお、今回の研究で指摘された脆弱性の一例は以下の通り。

・通信の問題

ユーザーはプログラミングするなどしてロボットに対して命令を行いますが、Wi-FiやBluetoothを使用するロボットで、この通信の部分がアタッカーによって阻害されたり、秘密情報が盗まれたりする恐れがあるものが存在します。

・認証の問題

ロボットをプログラミングする際にユーザー本人が認識される必要がありますが、いくつかのロボットはユーザー名やパスワードなしにアタッカーが遠隔からロボットをコントロール可能になるとのこと。

・暗号化が十分でないという問題

ロボットはパスワードや暗号化キー、SNSアカウントなどユーザーのプライベートな情報を多く有します。しかし、研究者が見たところ多くのロボットが暗号化されていないか不適切な形で暗号化されており、繊細な情報を潜在的なアタッカーに対して露出してしまっているとのこと。

・プライバシー情報の問題

いくつかのロボットは遠隔地にあるサーバーに、ユーザーの同意なしに「モバイルネットワークの情報」「現在の位置情報」「デバイスの情報」といったものを送っていたそうです。

・デフォルト状態のセキュリティが弱いという問題

多くのロボットはソフトウェアなどを使ってアクセス&プログラミング可能ですが、デフォルトのパスワードを変更できないロボットも多く存在します。デフォルトのパスワードは一般公開されていたり、同じモデルのロボットとパスワードを共有していたりするので、ユーザー側でパスワードを変更可能にすべきだと研究者らは指摘しています。

Amazonの音声アシスタント端末「Amazon Echo」や「Google Home」を取り入れる家庭も増えてきていますが、ユーザーがこれらの端末を使うのは、企業を信頼しているからに他なりません。しかし、脆弱性を指摘したレポートを適正に処理しているデバイスがほとんどないことは、メーカーにとってはよく知られたことだとのこと。



by Rick Turoczy

IOActiveのシニア・セキュリティ・コンサルタントであるLucas Apa氏は「メーカーは大衆が喜ぶような機能をロボットに加えることを好みますが、彼らは『ロボットはマイクやカメラを搭載していて、歩いたり物をつかんだりできる』という重要な問題を忘れているのです。そして人々は、自分のことを見て、聞いて、物を掴むことができるロボットがどんな結果をもたらすかということに気づいていません」と語っています。

自動運転カーなど、人工知能を搭載したロボットの実用化は現実味を帯びてきています。一方で、セキュリティ問題に対する取り組みが十分でないというのが研究者らの見方のようです。「eコマースの必要性が暗号化アルゴリズムを日常に落とし込んだように、ロボットなどの組み込みシステムはコンピューターの世界の次の大きな波になるでしょう。セーフガードの搭載に失敗することは、家の扉に鍵を付け忘れるのと同じことですから」とAferoのJoe Britt氏は語っています。今回の研究の目的も「今日のロボットのセキュリティがいかに不十分であるか、ということの関心を集める」ことにあるとのことです。

なお、各企業にこの情報を知らせたところ、返答があったのは6つのうち4つの企業で、そのうち脆弱性に対してパッチを用意すると答えたのは2企業のみ。中には研究者らの指摘に対する反論もあったそうですが、Universal Robotsは「指摘された問題についての調査を行っている」というコメントを返したとのことです。