Amazon Echo Dotはリセット後も大量のデータを保存する

2021年7月5日午前10時

スマートスピーカーの売却をお考えですか？デバイスから個人コンテンツを完全に削除することはできないことにご注意ください。

WIREDに掲載されているすべての製品は、編集者が独自に選定したものです。ただし、小売店やリンクを経由した製品購入から報酬を受け取る場合があります。詳細はこちらをご覧ください。

昨今のIoTデバイスの大部分と同様に、AmazonのEcho Dotも工場出荷時の状態にリセットする機能を提供しており、巨大企業であるAmazonの謳い文句にあるように、ユーザーはデバイスを売却または廃棄する前に「該当するデバイスからあらゆる…個人コンテンツを削除」することができます。しかし、研究者たちは最近、リセットされたデバイスに残っているデジタルデータを再構成することで、パスワード、位置情報、認証トークンなど、膨大な機密データを取得できることを発見しました。

Echo Dotを含むほとんどのIoTデバイスは、データの保存にNANDベースのフラッシュメモリを使用しています。従来のハードドライブと同様に、NAND（ブール演算子「not and」の略）はビット単位のデータを保存し、後で呼び出すことができます。しかし、ハードドライブがデータを磁気プラッターに書き込むのに対し、NANDはシリコンチップを使用しています。また、NANDは読み書き時にビットエラーが発生するため、エラー訂正コードを用いて訂正する必要があるため、ハードドライブよりも安定性が低くなります。

NANDは通常、プレーン、ブロック、ページで構成されています。この設計により、消去回数はブロックあたり通常10,000～100,000回程度に制限されています。チップの寿命を延ばすため、削除されたデータが格納されているブロックは、ワイプではなく無効化されることがよくあります。真の消去は通常、ブロック内のほとんどのページが無効化された場合にのみ行われます。このプロセスはウェアレベリングと呼ばれています。

ノースイースタン大学の研究者たちは、16ヶ月間にわたりeBayやフリーマーケットで86台の中古デバイスを購入しました。まず、購入したデバイスを調べ、工場出荷時にリセットされているものとされていないものを特定しました。すると、驚いたことに、61%のデバイスがリセットされていなかったのです。リセットされていない場合、以前の所有者のWi-Fiパスワード、ルーターのMACアドレス、Amazonアカウントの認証情報、接続されたデバイスの情報を復元するのは比較的簡単でした。

次の驚きは、研究者がデバイスを分解し、メモリに保存された内容を法医学的に調査したときに起こりました。

「このようなデバイスに物理的にアクセスできる（例えば中古品を購入するなど）攻撃者は、Wi-Fiの認証情報、（以前の）所有者の位置情報、サイバーフィジカルデバイス（例えばカメラやドアロック）といった機密情報を取得できる」と研究者らは研究論文に記している。「工場出荷時の状態にリセットした後でも、以前のパスワードやトークンを含むこれらの情報はフラッシュメモリに残っていることを我々は示している。」

中古のEcho Dotやその他のAmazonデバイスには、さまざまな状態があります。例えば、購入されたEcho Dotの61%がプロビジョニングされた状態のままです。デバイスは、前の所有者のWi-Fiネットワークに接続した状態でも、Wi-Fiから切断した状態でもリセットできます。また、所有者のAlexaアプリからデバイスを削除するかどうかに関係なく、リセットできます。

研究者たちは、NANDフラッシュの種類と以前のデバイスの状態に応じて、保存されたデータを抽出するために複数の手法を用いました。リセットされたデバイスの場合、「チップオフ」と呼ばれるプロセスがあり、これはデバイスを分解し、フラッシュメモリのはんだ付けを外すものです。その後、研究者たちは外部デバイスを使用してフラッシュメモリにアクセスし、その内容を抽出することになります。この方法には、かなりの設備、スキル、そして時間が必要です。

インシステムプログラミングと呼ばれる別のプロセスにより、研究者たちははんだ付けをせずにフラッシュメモリにアクセスすることが可能になった。このプロセスは、プリント基板のソルダーレジストコーティングの一部を削り取り、露出した銅箔に導電性の針を当てて、フラッシュメモリとCPUを接続する信号トレースに接触させることで実現する。

研究者らはまた、PCBと内蔵マルチチップパッケージへの損傷と熱ストレスを軽減するハイブリッドチップオフ法を開発しました。これらの欠陥は、PCBパッドの短絡や破損を引き起こす可能性があります。このハイブリッド技術では、RAMにはドナーとなるマルチチップパッケージを使用し、内蔵マルチメディアカード部分は元のマルチチップパッケージの外部に配置します。この方法は、IoTデバイスの解析を希望する研究者にとって特に興味深いものです。

研究者らは、使用済みの86台のデバイスに加えて、6台の新しいEcho Dotデバイスを購入し、数週間かけて、異なる地理的位置と異なるWi-Fiアクセスポイントでテストアカウントをプロビジョニングしました。プロビジョニングされたデバイスを、異なるスマートホームデバイスやBluetoothデバイスとペアリングしました。そして、前述の手法を用いて、これらのプロビジョニングされたままのデバイスからフラッシュコンテンツを抽出しました。

6台の新しいデバイスからフラッシュメモリの内容を抽出した後、Autospyフォレンジックツールを用いて、埋め込まれたマルチメディアカードの画像を検索しました。NANDダンプは手動で解析し、Amazonアカウント所有者の名前を複数回発見したほか、wpa_supplicant.confファイルの全内容も発見しました。このファイルには、デバイスが過去に接続したネットワークのリストと、使用された暗号化キーが保存されています。また、復元されたログファイルからも多くの個人情報が明らかになりました。

研究者たちは自らデバイスをプロビジョニングしていたため、デバイスにどのような情報が保存されているかを把握していました。この知識に基づき、所有者に関する情報、Wi-Fi関連データ、ペアリングされたデバイスに関する情報、地理情報という4つのカテゴリーに分類された特定の種類のデータを特定するためのキーワードリストを作成しました。デバイスにどのようなデータが保存されているかを知ることは有用ですが、攻撃を実行する上で必須ではありません。

回収されたデータをダンプして分析した後、研究者らはデバイスを再構築した。研究者らは次のように記している。

異なる場所や異なるMACアドレスを持つWi-Fiアクセスポイントに接続しても、追加の設定は不要だと想定していました。デバイスが正常に接続され、音声コマンドを発行できることを確認できました。「アレクサ、私は誰？」と尋ねると、デバイスは以前の所有者の名前を返しました。偽装されたアクセスポイントへの再接続では、Alexaアプリに通知が表示されず、メールにも通知が届きませんでした。リクエストはAlexaアプリの「アクティビティ」に記録されますが、音声コマンドで削除できます。スマートホームデバイスの操作、荷物の配達予定日の問い合わせ、注文の作成、音楽リストの取得、「ドロップイン」機能の使用が可能でした。カレンダーや連絡先リストがAmazonアカウントにリンクされている場合は、それらにもアクセスできました。具体的な機能の数は、以前の所有者が使用していた機能やスキルによって異なります。工場出荷時設定へのリセット前後で、プロビジョニングされたデバイスからチップオフ方式を用いてRAW NANDフラッシュを抽出しました。さらに、eMMCインターフェースを使用してダンプを作成しました。結果として得られたダンプから情報を見つけるには、興味深い情報を識別する方法を開発する必要がありました。

この論文を執筆したノースイースタン大学の研究者の一人、デニス・ギース氏は電子メールで攻撃シナリオを詳しく説明し、次のように書いている。

質問の1つに「アレクサ、私は誰？」があり、デバイスは所有者の名前を答えます。前の所有者が使用していたすべてのサービスにアクセスできます。たとえば、Echoからカレンダーを管理できます。また、荷物が届く時期になるとEchoに通知が届いたり、ドロップイン機能（別のEchoに話しかける機能）を使用したりできます。相手がスマートホームデバイスを一切使用していない場合、当然ながら操作することはできません。特別な点としてドアロックがあり、デフォルトではAlexaは施錠のみを許可しています。ユーザーはAlexaに手動でロック解除機能の有効化を許可する必要があります。これは、私たちの知る限り、アプリ経由でのみ機能します。つまり、ユーザーがその機能を有効にしていない場合、ドアを開けることはできません。

Echo Dotは音声コマンドで前の所有者の住所を教えてくれませんでしたが、研究者たちは近くのレストラン、食料品店、公共図書館について質問することで、おおよその位置を特定することができました。一部の実験では、位置情報の精度は150メートルまで向上しました。デバイスのユーザーが複数のWi-Fiルーターを所有していたり、近隣のSSIDが保存されていたりする場合には、研究者たちはGoogle Localization APIを使用することで、さらに正確な位置情報を得ることができました。

Echo Dotがリセットされた場合、データ抽出にはより高度な技術が必要でした。デバイスが所有者のWi-Fiネットワークから切断された状態でリセットが行われ、ユーザーがAlexaアプリからデバイスを削除していない場合、復元されたデータには、関連付けられたAmazonアカウントへの接続に必要な認証トークンが含まれていました。研究者たちはそこから、前述のように、リセットされていないデバイスで可能なことと同じことを行うことができました。

デバイスがWi-Fiネットワークに接続中にリセットされたり、Alexaアプリから削除されたりした場合、研究者は関連付けられたAmazonアカウントにアクセスできなくなりましたが、ほとんどの場合、接続されたルーターのWi-Fi SSID名とパスワード、MACアドレスを取得することができました。これらの2つの情報があれば、Wigleなどの検索サイトを使用してデバイスの大まかな位置を特定することが可能になります。

ギーゼ氏は結果を次のように要約した。

デバイスがリセットされていない場合（61%のケースでリセットされています）、作業は非常に簡単です。底面のゴムを外し、4本のネジを外し、本体を取り外し、PCBを外し、シールドを外して、針を取り付けます。その後は、標準のeMMC/SDカードリーダーを使って5分もかからずにデバイスをダンプできます。必要な部品がすべて揃ったら、デバイスを組み立て直し（技術的には、そのままでも動作するので組み立て直す必要はありません）、独自の偽のWi-Fiアクセスポイントを作成します。これでAlexaと直接チャットできるようになります。

デバイスがリセットされている場合は、作業が複雑になり、はんだ付け作業が必要になります。少なくともWi-Fiの認証情報と、MACアドレスを使ってWi-Fiの位置を特定できる可能性があります。稀に、Amazonクラウドと前の所有者のアカウントに接続できる場合もありますが、それはリセットの状況によって異なります。

倫理的な配慮から、研究者たちは所有者の個人情報が明らかになるような実験は行えませんでした。彼らが行った実験の結果は、6台のデバイスで得られた結果と一致しており、同様の動作をしないと考える理由は見当たりません。つまり、彼らが購入した中古デバイスの61%には、以前の所有者に関する豊富な個人情報が保存されており、限られた資金を持つ者であれば容易に抽出できるものでした。

研究者らは、デバイスがこれらの情報を保存しているかどうかを示すプライバシー保護スキームも開発しました。しかし、追加の攻撃を実証するために、これらの情報を保存したり使用したりすることはありませんでした。また、入手したAmazon認定の再生デバイス6台にも個人データは見つかりませんでした。

研究者らは、中古デバイスにおけるデータの抽出を防ぐための対策をいくつか提案した。最も効果的なのは、ユーザーデータパーティションを暗号化することだと彼らは述べた。この対策によって、複数の問題が解決されるという。

まず、プロビジョニングされたデバイスに対する物理的な攻撃では、ユーザーデータや認証情報を簡単に抽出できなくなります。データダンプには暗号化された情報しか含まれず、攻撃者はまず対応するキーを取得する必要があります。これにより、リセットが不可能であったり実行できなかったりした場合でも、ユーザー認証情報は保護されます。次に、すべてのブロックが暗号化されて保存されるため、ウェアレベリングに関する問題の大部分は軽減されます。このようなブロックの識別と再構築は非常に困難になります。また、削除されたキーの痕跡を正しく識別し、再構築することは、私たちの見解では不可能、あるいは極めて困難です。

研究者たちは、この解決策はファームウェアのアップデートで実装でき、ほとんどのデバイスのパフォーマンスを低下させることはないと考えています。十分な計算能力を持たないデバイスでも、Wi-Fiのパスワード、認証トークン、その他のデータを暗号化することは可能です。この方法はユーザーパーティション全体を暗号化するほど効果的ではありませんが、それでもデータの抽出ははるかに困難になり、コストも高くなります。

ユーザーデータパーティションやそこに含まれる機密データを暗号化するには、ユーザビリティを損なうことなく暗号鍵を保護するための何らかの対策が必要だと、研究論文の共著者であるゲバラ・ヌービル氏は電子メールで述べている。スマートフォンの場合、暗号鍵はPINまたはパスワードで保護されている。しかし、Echo DotのようなIoTデバイスは、ユーザーの操作なしに再起動後に動作することが期待されている。技術的な解決策は存在するが、ある程度の設計と実装の労力が必要となる。

アマゾンがこの調査結果を把握していたか、あるいは異議を唱えていたかを尋ねられたところ、広報担当者は次のように回答した。「当社のデバイスのセキュリティは最優先事項です。デバイスを再販、リサイクル、または廃棄する前に、登録を解除し、工場出荷時の状態にリセットすることをお勧めします。Amazonアカウントのパスワードやクレジットカード情報はデバイスに保存されていないため、アクセスすることはできません。」

背景について、広報担当者は研究者らがすでに指摘した点、具体的には次の点にも言及した。

同社は緩和策に取り組んでいる
攻撃者はデバイスを物理的に所有し、専門的な訓練を受けている必要がある。
インターネットに接続した状態で正常にリセットされたデバイスの場合、メモリに残っている情報によって攻撃者がユーザーのAmazonアカウントにアクセスすることはできません。
Amazonは、Amazonの下取りや返品で入手できるデバイスに残っているデータを消去します。

研究で示された脅威は、Fire TV、Fireタブレット、その他のAmazonデバイスに当てはまる可能性が高いですが、研究者らはこれらのデバイスをテストしていません。また、Google Home Miniなど、ユーザーデータを暗号化しない他の多くのNANDベースデバイスにも当てはまる可能性があります。

ギース氏は、Amazonが自社製造デバイス上のデータのセキュリティを強化する方法に取り組んでいると考えていると述べた。それまでは、デバイスの使用を中止した非常に神経質なユーザーは、内部のNANDチップを物理的に破壊する以外に選択肢はない。それ以外の場合は、デバイスをプロビジョニングしたWi-Fiアクセスポイントに接続した状態で、工場出荷時設定にリセットすることが重要だ。

ギース氏によると、リセットは必ずしも期待通りに機能するとは限らない。その理由の一つとして、Wi-Fiパスワードリセット（リセットボタンを15秒間長押し）と工場出荷時設定へのリセット（リセットボタンを25秒以上長押し）を区別するのが難しいことが挙げられます。ギース氏は、デバイスがリセットされたことを確認することを推奨しています。Echoの場合、デバイスの電源を入れ直し、インターネットに接続するかセットアップモードに入るかを確認することで確認できます。また、Alexaアプリにデバイスが表示されていないことも再度確認する必要があります。

「リセットしてもデータは残りますが、チップオフ方式で情報を抽出することが難しくなり、デバイスからAmazonアカウントへのアクセスが無効になります」と彼は述べた。「一般的に、そしてあらゆるIoTデバイスについて、転売することが本当に価値があるのかどうか、再考してみるのが良いかもしれません。しかし、明らかに環境にとって最善のことではないかもしれません。」

このストーリーはもともと Ars Technicaに掲載されました。

WIREDのその他の素晴らしい記事