Image: Yarbo

広いお庭のお手入れに欠かせない芝刈り機。日本の一般家庭ではあまり馴染みがないガジェットですが、海を超えた国では広く愛用されている頼もしいマシンです。

そんな芝刈り機をめぐって、今、ちょっとした騒ぎが起きています。というのも、ネット通信対応のロボット芝刈り機がハッキングされ、人をひきかけたというニュースが報じられたから。

これは、Yarboというメーカーのロボット芝刈り機の脆弱性を証明するための実験でした。とはいえ、鋭い刃がついた90キロ超のロボットが、外部から遠隔操作され得る状態にあったという事実は、ユーザーにとってかなり怖い話です。

The Vergeが検証記事を公開しています。

警告しても伝わらなかった

この実験のきっかけを作ったのは、ドイツのセキュリティ研究者アンドレアス・マクリス氏。彼はYarboのロボット芝刈り機に深刻な脆弱性があることを見つけ、世界中で稼働している1万1000台以上の機体にアクセスできる可能性を示しました。

マクリス氏はまず、セキュリティ研究者としてYarboに問題を報告しました。ところが同社は当初、その仕組みを「機械的またはソフトウェア上の問題に対して、迅速で正確な解決策を提供するため」の設計だと説明し、深刻さを十分には受け止めなかったようです。

そこでマクリス氏は、The Vergeのショーン・ホリスター記者に連絡しました。記事では、ホリスター氏が実際にロボット芝刈り機の前に横たわり、ドイツにいるマクリス氏が約6000マイル離れた場所からYarboを遠隔操作する様子が描かれています。

ロボットはホリスター記者に向かって進み、胸の上に乗り上げました。幸い、けがはありませんでした。でも、90キロを超える機械に刃がついていることを考えると、これは冗談で済む実験ではありません。 The Vergeでは動画も公開されています。

同じrootパスワード、消せないバックドア、見える位置情報

マクリス氏が見つけた脆弱性は、かなり深刻です。というのも、ロボットを遠隔操作できるという単純な話ではなかったんです。

まず、Yarboのロボットはすべて同じrootパスワードを使っていたとされています。rootとは、機械の中身を深いところまで操作できる管理者権限のこと。つまり、1台に入れてしまえば、同じ仕組みを使ってほかの機体にもアクセスできる可能性があるということです。 しかも、ユーザーがパスワードを変えたり、問題のあるファイルを削除したりしても、ファームウェア更新のたびに初期状態へ戻ってしまうと報じられています。これでは、ユーザー側で自衛しようとしても限界があります。

さらに問題なのは、Yarbo側が遠隔診断のために用意していたアクセス経路です。これは本来、メーカーが不具合調査やサポートをするための仕組みだったのかもしれません。けれど、所有者が無効にできず、削除しても復元されるとなると、ユーザーから見ればバックドアです。

マクリス氏は、ロボットの遠隔操作だけでなく、カメラ映像、所有者のメールアドレス、Wi-Fiパスワード、自宅のGPS座標にもアクセスできる可能性を示しました。The Vergeは、マクリス氏が特定したYarbo所有者を実際に訪ね、その位置情報の正確さを確認しています。なかには、重要な発電施設の近くにある機体もあったと報じられています。

つまり、このロボット芝刈り機は、家の場所を知らせ、家のネットワークの鍵を見せ、カメラで家の周囲を見せ、さらに外部から動かせる状態にあったということです。

Yarboは問題を認め、修正を進めると発表した

Yarboは当初、自社のロボットは安全で、ユーザーだけの管理下にあると主張していました。しかしその後、同社は公式声明を出し、マクリス氏の主要な技術的指摘は正確だったと認めました。さらに、初期対応が問題の深刻さを十分に反映していなかったことも認め、謝罪しています。

同社によると、すでに関連する遠隔診断のアクセス経路を一時的に無効化し、権限管理を強化し、共通の認証情報から機体ごとの認証情報へ移行する作業を進めているとのことです。また、今後はユーザーが承認し、監査できる形の遠隔診断モデルへ移行する方針も示しています。 The Vergeの続報でも、Yarboが共有認証情報の廃止、デバイス単位の認証、セキュリティ対応窓口の設置などを約束したことが報じられています。

ただし、すべてが解決したわけではありません。報道によると、アプリ側の一部脆弱性には対応が進んでいる一方、機器本体のファームウェアに関わる問題には未解決の懸念も残っています。つまり、Yarboが対応を始めたことは確かですが、安全だと言い切れる段階ではなさそうです。

スマート家電は、暮らしを楽にしてくれます。カメラも、ドアベルも、掃除機も、鍵も、車も、芝刈り機も、ネットにつながると便利になります。でも、ネットにつながるということは、外の世界ともつながるということです。メーカーには「便利」以上に「安全」を作り込んでほしい。

スマート家電を選ぶとき、私たちは機能や価格だけでなく、その会社が本当に安全を考えているのかも見る必要があるのかもしれません。

Source: The Verge via Futurism、Yarbo