学校のトイレの煙探知器のようだ。10代のハッカーが、音声バグの可能性を示唆

数年前、当時16歳だった好奇心旺盛なハッカー、レイナルド・バスケス＝ガルシアが、ポートランド近郊の高校でノートパソコンを使って、Wi-Fi経由で接続できるコンピューターシステムを調べていた。「学校のネットワークを実験室として使っていた」と彼は言う。その時、「IPVideo Corporation」という識別子を持つ謎のデバイスをいくつか見つけた。

よく見て、グーグルで調べた結果、ガルシアはその名前の会社がモトローラの子会社であること、そして学校で見つけた機器は「Halo 3C」と呼ばれる「スマート」な煙と電子タバコの検知器であることが判明した。「見た目は煙探知機そっくりですが、センサーなど、たくさんの機能が搭載されているんです」とガルシアは言う。

さらに読み進めるうちに、Halo 3Cは煙やベイプの検知だけにとどまらず、特にTHCベイプを識別するための独自の機能を備えていることを知り、興味をそそられた。さらに、「攻撃」や銃声、助けを求める声などのキーワードを聞き取るマイクも搭載されている。この機能は、バスケス＝ガルシア氏にとって、より侵入的な監視行為になるのではないかとの懸念を即座に抱かせた。

現在、数か月に及ぶリバースエンジニアリングとセキュリティテストを経て、バスケス＝ガルシア氏と、彼とパートナーを組んでいる「Nyx」という偽名のハッカー仲間は、Halo 3C のガジェットの 1 つ (彼らはこれを「スニッチ パック」というニックネームで呼んでいる) をハッキングして、完全に制御できることを実証した。

本日開催されるハッカーカンファレンス「Defcon」において、彼らは、比較的単純なセキュリティ脆弱性をわずか数点悪用するだけで、同じネットワーク上のハッカーがHalo 3Cを乗っ取り、リアルタイム音声盗聴バグを仕込んだり、検知機能を無効化したり、電子タバコや銃声の偽アラートを生成したり、さらにはデバイスのスピーカーから任意の音や音声を再生したりできることを実証する予定です。モトローラはその後、これらのセキュリティ欠陥に対処するファームウェアアップデートを開発し、金曜日までにクラウド接続デバイスに自動的にプッシュすると述べています。

ハッカーたちのトリックの多くは、Vasquez-Garcia 氏と Nyx 氏が Defcon でのプレゼンテーションに先立って作成した以下のビデオ デモで公開されています。

Halo 3Cの脆弱性は、学校のネットワークに侵入した10代のハッカーがHalo 3Cを乗っ取り、大規模な悪用や乱用を行う可能性を秘めていました。このセンサーの機能は、学校管理者や警察が学校のトイレで無防備な生徒の行動を盗聴するなど、同様の行為に及ぶ可能性もあるという懸念を喚起しています。学校は、AI搭載の武器探知機から「顔分析」カメラ、生徒用コンピュータのキー入力ロガーまで、あらゆる種類の監視技術の脅威にさらされるようになっています。

研究者たちの懸念の一つは、Halo 3Cのような技術が、例えば中絶を求める学生の発言に悪用される可能性があることだ。モトローラはマーケティング資料の中で、Halo 3Cセンサーは「トイレや更衣室など、プライバシーが重視される場所での健康と安全の監視に最適で、動画や音声の録画は許可されていない」と述べている。（モトローラによると、このセンサーには「助けて、911」などのウェイクワードがプログラムされており、音声の録音やストリーミングは行われないという。）

「マイクの音質は素晴らしいです。会社の功績と言えるでしょう」とNyx氏は語る。「天井の高い場所からでも、誰が何を言っているのかはっきりと聞き取れました。まさにそれを実現できたのです。」

モトローラはハッカーに対し、脆弱性を修正する新しいファームウェアアップデートに取り組んでいるとメールで伝えた。しかしハッカーたちは、このアップデートでは根本的な懸念、つまり隠しマイクを搭載したガジェットが全国の学校に設置されているという懸念には対処できず、対処できないと主張している。モトローラはまた、マーケティング資料によると、Haloセンサーを公営住宅（住民の自宅を含む）での使用も宣伝している。

「残念ながら、ネットワークに接続されたコンピューターにマイクが接続されているのが現状です」とNyx氏は言う。「そして、それを盗聴装置として利用できないようにするソフトウェアパッチは存在しません。」

モトローラはマーケティング資料の中で、Halo 3Cを「オールインワンのインテリジェントセキュリティデバイス」と謳っています。通知機能により、「学校、病院、小売店などのセキュリティチームは、潜在的に重大な事態に迅速に対応し、より安全な環境を構築することができます」と同社は述べています。

2年前、バスケス＝ガルシア氏がHalo 3Cに興味を持った後、地元のハッカースペースで出会った年上のハッカー、Nyx氏と共にeBayでHalo 3Cを購入し、分解しました。分解してみると、Halo 3Cは基本的にRaspberry Piマイクロコンピューターで、温度や湿度、加速度計、そして様々なガスを検知する空気質センサーなど、多数のセンサーが取り付けられていることがわかりました。そして、特に目立った機能が2つありました。マイクです。

「このデバイスが建物内に置かれ、マイクが内蔵されているのを見ると、それは大きな危険信号です」とニックス氏は言う。

Halo 3Cをハッキングするために、彼らはHalo 3Cがインストールされているネットワーク経由で接続できれば、パスワード推測の速度制限を事実上受けることなく、総当たり攻撃でパスワードを推測できることを発見した。これは、推測速度を制限する方法に欠陥があったためだ。「Halo 3Cが応答するのと同じ速さでパスワードを推測するのは容易です」とNyx氏は言う。つまり、彼らは1分間に約3,000個のパスワードを推測でき、複雑度の低いパスワードであれば比較的速く解読できたことになる。

Halo 3Cの管理者権限を取得すると、ファームウェアを好きなようにアップデートできることが分かりました。ファームウェアアップデートには特定の暗号鍵による暗号化が必要となるセキュリティ対策が施されていましたが、実際にはその鍵はHaloのウェブサイトで入手できるファームウェアアップデートに含まれていました。「鍵が下側にテープで貼られた鍵付きの箱を渡されるんです」とNyx氏は言います。「下を見れば開けられるんです」

モトローラ・ソリューションズの広報担当者は声明で次のように述べています。「モトローラ・ソリューションズは、データセキュリティを最優先に考え、データの機密性、完全性、可用性を保護するために、製品の設計、開発、導入を行っています。ファームウェアのアップデートは既に提供されており、お客様やチャネルパートナーと協力して、セキュリティに関する追加の推奨事項や業界のベストプラクティスに沿って、アップデートの導入を進めています。」

オンラインで入手可能なマーケティング資料によると、Halo 3Cは「ダイナミックベイプ検出アルゴリズム」を搭載しており、ニコチンやTHCを検知し、また、誰かがエアロゾルでベイプを隠そうとしていることも検知できます。Haloは「営業時間外の動きをセキュリティチームに警告」する機能や、「音声キーワード機能」も備えています。

「HALOスマートセンサーは、特定の音声キーワードを検知し、潜在的な問題を即座にセキュリティ担当者に警告します。『助けて』などの事前定義されたキーワードは、いじめが懸念される学校などの環境や、支援を必要とする教師、看護師、入院患者にとって特に役立ちます」とマーケティング資料には記載されています。別のセクションでは、これらのセンサーは学校における「いじめや攻撃行為」の検知にも使用できると説明されています。

マーケティング資料には、Haloセンサーがニューヨーク州の公営住宅で使用されていることも記載されています。「これらのセンサーは、SSHA（サラトガスプリングス住宅局）がリスクを軽減し、禁煙規則を徹底し、脆弱な住民を保護するのに役立っており、今後、住宅局全体でさらに設置が計画されています」と記載されています。

ニックス氏は、公営住宅の居住者に、ハッキング可能なデバイスをアパート内に設置することを義務付け、それが音声盗聴ツールになるという考え方こそ、Halo 3Cの最も忌まわしい用途かもしれないと主張する。「この製品ライン全体の悪質さが、さらに際立ったものになったと言えるでしょう」とニックス氏は言う。「ほとんどの人は、自分の家に盗聴器が仕掛けられていないことを期待しているでしょう？」

Halo 3Cのようなセンサーが学校や家庭にまで普及するにつれ、バスケス＝ガルシア氏は、彼とNyxの調査結果から得られる最大の教訓は、煙探知機のようなシンプルなデバイスにマイクとインターネット接続を組み込むことは、真のリスクを伴う決断である、ということだと述べています。「この調査から人々が一つだけ覚えておくべきことは、『安全のためだ』と謳っているからといって、あらゆるIoTデバイスを盲目的に信じてはいけない』ということです」とバスケス＝ガルシア氏は言います。「真の問題は信頼です。『録画していません』と謳っているデバイスを額面通りに受け入れれば受け入れるほど、中身を知らずに、あるいは疑問を抱くこともなく、監視が常態化してしまうのです。」