Alexa、Googleアシスタント、Siriがレーザーハッキング攻撃に脆弱

研究者のグループが、特別に作成されたレーザービームをマイクに向けて照射し、音声コマンドを注入することでスマートホームスピーカーをハッキングできるセキュリティの欠陥を発見しました。

興味深いことに、この同じ脆弱性は、マイクを含む任意のコンピュータ、スマートフォン、タブレットを危険にさらすためにも使用できます。

この研究は、東京の電気通信大学とミシガン大学の研究者によって行われました。この脆弱性は、「Light Commands: Laser-Based Audio Injection Attacks on Voice-Controllable Systems」という新しい論文で詳述されています。

「Light Commands」と呼ばれるこの欠陥は、主にレーザーを使用してスマートスピーカーを偽のコマンドで操作します。また、スマートスピーカーを介して接続された他のシステム、例えばスマートロックで保護された玄関、接続されたガレージドア、オンラインショッピング、車両の位置特定やリモート起動などにも使用できます。

「Light Commandsは、攻撃者が光を使用してGoogleアシスタント、Amazon Alexa、Facebook Portal、Apple Siriなどの音声アシスタントに対して、聞こえない目に見えないコマンドをリモートで注入できるMEMSマイクロフォンの脆弱性です」と研究者たちは書いています。「私たちの論文では、この効果を示し、光を使用してスマートスピーカー、タブレット、電話などのいくつかの音声制御デバイスに悪意のあるコマンドを注入することに成功しました。」

人気のあるスマートスピーカーやスマートフォンの一部に搭載されているMEMS（マイクロ電気機械システム）マイクロフォンは非常に敏感で、レーザーの明るい光を音として解釈しました。

研究者たちは、レーザー光を集中させるだけで、最大360フィート（110メートル）離れた場所からSiriや他のAIアシスタントを騙すことができ、230フィート（70メートル）離れた鐘楼から窓を通して光を照射することで、1つの建物内のデバイスを制御することもできました。

スマートスピーカーの他に、テストされたデバイスにはAmazon Echo、Apple HomePod、iPhone XR、Google Pixel 2、Samsung Galaxy S9、Facebook Portal Miniなどが含まれています。

「マイクロフォンは音を電気信号に変換します。光コマンドの背後にある主な発見は、音に加えて、マイクロフォンが直接向けられた光にも反応することです」と研究者たちは書いています。

「したがって、光ビームの強度で電気信号を変調することで、攻撃者はマイクロフォンを騙して、実際の音声を受信しているかのように電気信号を生成させることができます。」

この研究を認識しているGoogleは、「この研究論文を注意深くレビューしている」と確認しました。同社は、「ユーザーを保護することが最も重要であり、デバイスのセキュリティを向上させる方法を常に模索しています」と付け加えました。

この脆弱性は確かに警戒すべきものですが、実行するのは簡単ではありません。かなり高度なセットアップ、レーザーポインター、レーザードライバー、音響増幅器、望遠レンズなどが必要です。

しかし、使用していないときにデバイスを無効にし、レーザービームからデバイスを見えない場所に保管し、可能な場合はPINや他のユーザー認証要件などのセキュリティ対策を設定することで、このような攻撃を避けるための簡単な予防措置を講じることができます。