ESET ウェアラブルデバイスのセキュリティについて 進化し続けるウェアラブルデバイス ウェアラブルデバイスのセキュリティリスク ウェアラブルデバイスで生じたセキュリティインシデント ビジネスシーンにおいても活用の動きへ リスクを理解し、積極的な活用で利便性を享受したい
本記事はキヤノンマーケティングジャパンが提供する「マルウェア情報局」に掲載された「ウェアラブルデバイスを使用する際に注意すべきセキュリティのこと」を再編集したものです。
ウェアラブルとは「体に装着できる」という意味を持ち、スマートウォッチなどの時計型以外にも複数のタイプが存在する。Fitbitなどのリストバンド型や、AirPodsなどの耳装着型、メガネ型、指輪型などが代表として挙げられる。2014年に発表されたApple Watchによってウェアラブルデバイスは広く認知されることになったものの、普及するまでには至らなかった。
そのウェアラブルデバイスが再び注目を集めている。後押ししているのはビッグデータとAIだ。2019年9月、Amazonは同社のAI音声アシスタントであるAlexaを搭載したスマートグラス「Echo Frames」を発表。このデバイスにはカメラやディスプレーは組み込まれていないが、小さなマイクとスピーカーが搭載され、Alexaと対話することが可能だ。消費者向けのスマートグラスを一度断念したGoogleも、企業向け製品の開発は継続し、2019年5月には最新版となる「Glass Enterprise Edition 2」を発表した。また、Facebookもスマートグラスの開発に着手しているという話もある。
こうした動向を裏付けるかのように、2019年3月に発表されたIDC Japanの調査では、2018年第4四半期のグローバルにおけるウェアラブルデバイスの出荷台数は5931万台で前年同期と比べ31.4%増加。日本国内でも55.6万台となっており、前年同期と比べ25.5%増加している。少し前まではスマホとの通信が前提だったスマートウォッチも、単独通信可能なSIM内蔵型が登場し、利用シーンや活用の幅が広がっている。今後もさまざまなデバイスが登場することで、より一層の普及が確実視されている。一方で、新しいデバイスの普及は常にセキュリティリスクと隣り合わせでもある。
ウェアラブルデバイスの大きな特徴は、体に装着する機器であるということだ。文字通り、肌身離さず装着されているため、スマホ以上にさまざまなデータを収集し活用することができる。しかしそれゆえに、ウェアラブルデバイスに保存されるデータは犯罪を企むハッカーにとっては格好のターゲットであり、万が一、不正アクセスなどのトラブルに遭遇した場合、ユーザーのプライバシーはリスクに晒されることになる。では、具体的にどのようなデータがウェアラブルデバイスには蓄積されているのだろうか。
・ウェアラブルデバイスが収集するデータ
- 「音声」、「画像」、「動画」など
ウェアラブルデバイスが搭載するマイクやカメラは年々その精度が高まっている。カメラ付きのスマートグラスがあれば、今見ている景色を音声付きの動画データとして転送することも可能だ。
- 「歩行距離」、「位置情報」、「移動ルート」、「高度」、「睡眠時間」、「消費カロリー」など
GPSや加速度センサー、ジャイロセンサーを搭載するウェアラブルデバイスも増加しており、動作に関する細かな情報が取得可能になってきている。
- 「心拍」、「脈拍」、「体脂肪率」、「筋肉量」、「BMI」など
腕に密着するタイプのウェアラブルデバイスでは肌を経由して脈拍などもリアルタイムで測定できる。また、体組成計の機能を持ち合わせたものならば、身体の傾向に関する情報も得られる。
- 「氏名」、「住所」、「クレジットカード情報」、「認証情報」など
PII(Personally Identifiable Information)と呼ばれる個人情報や銀行口座をはじめとする決済情報なども保存されているウェアラブルデバイスも少なくない。最近では、指紋認証や虹彩認証、顔認証などの生体認証情報が保存され、二要素認証などに活用される向きもある。
ウェアラブルデバイスを利用する際には、こうした非常に機微で貴重な個人情報が端末に保存されていると同時に、インターネットを介して製品・サービス提供者のデータベースに蓄積されているということも理解しておかなければならない。利用にあたっては、下記のようなセキュリティリスクの存在も認識し、適切な対応を心がけたい。
・物理的な盗難
「重要なデータ」を扱うがゆえに、デバイス自体が盗難される可能性がある。もし、自分が普段から身に着けているウェアラブルデバイスが盗難にあったとしたら、端末に保存されている貴重なデータが盗み見されるだけでなく、悪意のある第三者がデバイスを利用し自分自身になりすましてしまうといったことも考えられる。二要素認証として活用していた場合、なりすましてログインされ、決済機能や認証機能が悪用される危険性もある。
・不正アクセス
通信という行為には不正アクセスのリスクが必ずつきまとう。ウェアラブルデバイスの場合、インターネット経由だけでなく、Wi-FiやBluetoothなどを経由した不正アクセスも考えられる。不正アクセスにより、データ傍受や乗っ取りなどのリスクが生じる。スマートグラスなどの情報表示端末を例にとると、不正アクセスでハッキングされ本来表示されるべきものとは異なる偽りの情報(地図情報など)が表示されることで、その情報を元に行動したがゆえに想定もしなかったリスクに晒される、といったことも実際に起きかねない。
ウェアラブルデバイスを購入する際にはこうしたリスクを踏まえ、ベンダーのセキュリティポリシーを事前に確認しておきたい。
ウェアラブルデバイスもインターネットと接続する以上、セキュリティリスクからは逃れられない。実際に起きたセキュリティインシデントをいくつか紹介したい。
・2015年11月に起きた、香港の知育玩具メーカーでの個人情報漏えい
不正アクセスにより、640万件以上の子供の個人情報と500万件以上の保護者の情報が流出。この企業ではコンピューターを使った子供向けの知育玩具や関連アプリを販売し、その中には子供向けのスマートウォッチもあった。この企業のデータベースにはアプリに関連する子供の情報や保護者の情報が大量に保存されていたが、そのシステムにセキュリティの脆弱性や暗号化に関する問題が存在していたことが原因であった。システムに関連するセキュリティインシデントは、企業の知名度や規模に関係なく、起こり得る。
参考情報
https://eset-info.canon-its.jp/malware_info/special/detail/160119.html
・2018年1月、フィットネストラッカーアプリ利用による位置情報の漏えい
ウェアラブルデバイスとセットで利用されるフィットネストラッカーアプリを利用していた軍関係者の位置情報データが漏えい。このアプリはランニングやサイクリングなど多様なスポーツ活動によって生じる情報をサーバーに記録する。さらに、走行ルートのマッピングなどを行なうだけでなく、ユーザーが共有している走行ルートに関する情報を美しいヒートマップとして世界中に公開し、誰でも簡単に特定地域のアクティビティを見つけられるようにした。その結果、軍事施設内のルートや軍関係者の移動ルートなどが意図せず公開されることになってしまった。
サービス・製品を提供するベンダーへの不正アクセスや位置情報の漏えいだけでなく、使用しているウェアラブルデバイスそのものがハッキングに遭う可能性も高い。そうした場合、悪意のあるハッカーがまず狙うのは決済情報などの個人情報だろう。位置情報が漏えいすることで、空き巣被害などを誘発させるかもしれない。また、最近になって一部のメディアによってAmazonが人間の感情を認識できるウェアラブルデバイスを開発中だという報道がなされた。テクノロジーの進歩によって、ウェアラブルデバイスがより多くの個人情報を収集する日はそう遠くないはずだ。
ウェアラブルデバイスの進化と普及は個人向けだけにとどまらない。近い将来、ビジネスシーンで利用されることも多くなっていくに違いない。いくつか想定される事例を紹介する。
・従業員の健康管理や体調管理、労働環境の改善
働き方改革においてもウェアラブル端末の活用が期待されている。実際に、リスト型のウェアラブル端末を活用して、勤務中の心拍などを計測することで従業員のストレスを分析、その後の健康指導や業務の負荷分散などに役立てようという取り組みが一部の企業で行なわれている。
・作業現場におけるリモート指示などの業務支援
製造業などではスマートグラスとARの活用が着実に進みつつある。スマートグラスを装着し、目の前に映し出されるARの画面指示に沿って作業を行なうことで、従業員のトレーニングコストを大きく下げることが可能とされる。また作業中の連絡も、ウェアラブルデバイスならハンズフリーで通話ができるため、業務を阻害せず効率的だ。
・作業員の状態をモニタリングし、安全を確保
建設業など高所や暗所などの危険を伴う作業においては、リスト型端末を活用し作業員の心拍や脈拍、加速度などを測定することで、事故の予防や事故後の迅速な対応が可能となる。ウェアラブル端末のセンサーは年々進化を遂げており、心電計や脳波計、血糖測定器なども将来的には搭載され、より精密なモニタリングができるようになるといわれている。
・企業システムのシングルサインオンに利用
海外のとあるベンチャー企業では心拍の波形を生かした生体認証によるコンタクトレス決済の実証実験を実施している。この技術が実用可能になれば、ウェアラブルデバイスによる企業システムへのシングルサインオンを実現することも可能だろう。たとえば、ユーザーはリスト型端末ひとつを装着するだけでオフィスのエントランスゲートを通過し、エレベーターに乗り、システムにログインするといったことも夢ではない。
今後、オフィス内に個人で使用しているウェアラブル端末が持ち込まれるケースも増えていく可能性がある。ウェアラブルデバイスによってベンダーのデータベースに転送される情報が、個人だけでなく企業の機密情報であるケースも出てくるだろう。企業に対してはこのようなウェアラブルデバイスの装着が当たり前になる将来を見越し、あらかじめ情報セキュリティポリシーを定めておくことが求められる。
ウェアラブルデバイスを個人で利用する場合には、その端末上で動作するアプリにも注意したい。安全ではないアプリ、すなわち不正に情報を窃取し外部に送信するような悪意あるアプリは確かに存在する。アプリを導入する前に、その発行元が信頼のおける企業や団体であるかどうか、そしてそのプライバシーポリシーに関する記述をしっかりと確認しておくべきだろう。不正なアプリによってマルウェアに感染したり、重要な個人情報が意図せず漏えいしたりする可能性はゼロではない。他のデバイスと同様に、OSやアプリのアップデートや安全な通信の確保など、最低限のセキュリティ対策は施しておきたい。
ウェアラブルデバイスを企業がビジネスに活用する場合、端末を介して従業員から位置情報だけでなく健康データなどのより機微な個人情報を収集することも考えられる。個人情報を収集する場合には、その取り扱いについて慎重な対応が求められる。
ウェアラブルデバイスの進化はITと私たちとの関係性を密接にし、暮らしやビジネスにより多くの恩恵をもたらしてくれる。そのためにも、背後に潜むセキュリティリスクを正しく認識し、向き合っていくことがより一層重要になっていくのではないだろうか。
ツイートする
カテゴリートップへ
この記事の編集者は以下の記事をオススメしています
ESET on ASCII必読記事
Tweets by MalwareInfo_JP© KADOKAWA ASCII Research Laboratories, Inc. 2022表示形式: PC ⁄ スマホ