2017年のサイバー脅威動向を予想する時期となった。顧客やジャーナリストの机の上には、セキュリティベンダーが発表するレポートが、クリスマスの雪のように降り積もる。2016年中は、ランサムウェアのまん延と、モノのインターネット(IoT)が今後セキュリティ上の悪夢になるという話を繰り返し聞かされてきた。ビデオカメラで構成されたボットネットのニュースが話題になったのを覚えている人もいるだろう。そしてどのセキュリティベンダーも「人工知能」や「機械学習」「脅威インテリジェンスの共有」といったフレーズを連発している。こうした非常に多数のレポートで、多くの予想は疑う余地のないものだ。
もちろん脅威予想の季節はまだ始まったばかりだし、3月まで予想を発表しないセキュリティベンダーもある。しかし、現時点で特に目立ったレポートを挙げるとすれば、Forceprintの「2017 Security Predictions」だろう。
Forceprintのレポートには、「『Siri』や『Alexa』などの音声操作AI(人工知能)を利用するよう設計されたアプリが2017年に爆発的に増加するのに伴い、全く新しい脅威ベクトルが出現する」とある。
「これらはまた、特にアクセス制御の観点で望ましくないリスクをもたらすかもしれない。この種のアプリの普及には、新しいインターフェースに起因するセキュリティリスクが伴う。ハッカーは既存のセキュリティ保護対策をバイパスできるようになり、AIアプリに関連したデータ漏えいの増加につながるだろう」(同レポート)
では、例を挙げてみよう。2015年の初めに発表された、サムスンの音声操作可能なテレビ「Smart TV」は、話しかけるだけで操作できた。いくつかの単語を発するだけで、チャンネルを変えたり、音量を変えたりすることが可能だった。
しかし消費者は、その仕組みを知ると失望した。
Forcepointのセキュリティ技術担当ディレクターを務めるBob Hansmann氏は、11月のウェビナーで、「それを実現するためには、常に音を聞き続ける必要があるということがすぐに明らかになった。つまり、テレビはその場で起こっていることすべてに聞き耳を立てており、これは会議室のような場所で使用されていた場合も例外ではなかった」と説明している。
「そのテレビはインターネットに接続されており、すべての会話内容がメーカーに送られた。そしてメーカーの施設内に置かれたサーバにAIがあった。これはクラウドサービスだった。そしてそのクラウドサービスが、テレビに命令を送り返していた」(Hanselman氏)
最新の音声操作システムは、家族の誰が話しているかを判別することさえできるものもある。個人の好みに応じて動作を調整できるのは素晴らしいが、これは人間に関するデータを収集する方法が1つ増えたことも意味している。これによって、より対象を絞り込んだ広告や、さらに悪いことが可能になるかもしれない。
音声操作可能なアプリの普及は、メーカーがデータストリームの内容を引き出す機会が増えることを意味しており、誰もが何が話されているかを知りたがっている。音声データのフローとコマンドのフローは、ユーザーのセキュリティやプライバシーを保護できるような仕組みや管理方法を備えているのだろうか?
安心してほしい。こういった新しいIoTデバイスの設計者は今後間違いなく、われわれが当然だと思うようになっているセキュリティに対して必要な配慮や注意を払うようになるだろう。
