ハードウェア

Pepperたちロボットの抱えるセキュリティリスクを研究者らが警告

by ibmphoto24

セキュリティサービス企業・IOActiveが発表したレポートによると、6つの企業が販売する家庭用および産業用ロボットから重要なセキュリティ上の問題が見つかったとのこと。リストの中にはソフトバンクの感情を持つロボット「Pepper」も含まれています。

(PDFファイル)Hacking Robots Before Skynet
http://www.ioactive.com/pdfs/Hacking-Robots-Before-Skynet.pdf

That Cool Robot May Be a Security Risk - The New York Times
https://www.nytimes.com/2017/03/01/technology/that-cool-robot-may-be-a-security-risk.html


セキュリティ上の問題が見つかったのは以下の企業のロボット。

ソフトバンクロボティクスNAOPepper
UBTECH RoboticsAlpha 1SAlpha 2
ROBOTISROBOTIS OP2THORMANG3
Universal RobotsUR3 ロボットUR5 ロボットUR10 ロボット
Rethink RoboticsBaxterSawyer
アスラテックV-Sidoテクノロジーを搭載した複数のロボット

見つかった脆弱性は50件近い数ですが、重要なのは、研究者が行ったテストは大きな投資やリソースを必要とするディープなものではなく、非常にシンプルで初歩的なものだったということです。なお、今回の研究で指摘された脆弱性の一例は以下の通り。

・通信の問題
ユーザーはプログラミングするなどしてロボットに対して命令を行いますが、Wi-FiやBluetoothを使用するロボットで、この通信の部分がアタッカーによって阻害されたり、秘密情報が盗まれたりする恐れがあるものが存在します。

・認証の問題
ロボットをプログラミングする際にユーザー本人が認識される必要がありますが、いくつかのロボットはユーザー名やパスワードなしにアタッカーが遠隔からロボットをコントロール可能になるとのこと。

・暗号化が十分でないという問題
ロボットはパスワードや暗号化キー、SNSアカウントなどユーザーのプライベートな情報を多く有します。しかし、研究者が見たところ多くのロボットが暗号化されていないか不適切な形で暗号化されており、繊細な情報を潜在的なアタッカーに対して露出してしまっているとのこと。

・プライバシー情報の問題
いくつかのロボットは遠隔地にあるサーバーに、ユーザーの同意なしに「モバイルネットワークの情報」「現在の位置情報」「デバイスの情報」といったものを送っていたそうです。

・デフォルト状態のセキュリティが弱いという問題
多くのロボットはソフトウェアなどを使ってアクセス&プログラミング可能ですが、デフォルトのパスワードを変更できないロボットも多く存在します。デフォルトのパスワードは一般公開されていたり、同じモデルのロボットとパスワードを共有していたりするので、ユーザー側でパスワードを変更可能にすべきだと研究者らは指摘しています。

Amazonの音声アシスタント端末「Amazon Echo」や「Google Home」を取り入れる家庭も増えてきていますが、ユーザーがこれらの端末を使うのは、企業を信頼しているからに他なりません。しかし、脆弱性を指摘したレポートを適正に処理しているデバイスがほとんどないことは、メーカーにとってはよく知られたことだとのこと。

by Rick Turoczy

IOActiveのシニア・セキュリティ・コンサルタントであるLucas Apa氏は「メーカーは大衆が喜ぶような機能をロボットに加えることを好みますが、彼らは『ロボットはマイクやカメラを搭載していて、歩いたり物をつかんだりできる』という重要な問題を忘れているのです。そして人々は、自分のことを見て、聞いて、物を掴むことができるロボットがどんな結果をもたらすかということに気づいていません」と語っています。

自動運転車など、人工知能を搭載したロボットの実用化は現実味を帯びてきています。一方で、セキュリティ問題に対する取り組みが十分でないというのが研究者らの見方のようです。「eコマースの必要性が暗号化アルゴリズムを日常に落とし込んだように、ロボットなどの組み込みシステムはコンピューターの世界の次の大きな波になるでしょう。セーフガードの搭載に失敗することは、家の扉に鍵を付け忘れるのと同じことですから」とAferoのJoe Britt氏は語っています。今回の研究の目的も「今日のロボットのセキュリティがいかに不十分であるか、ということの関心を集める」ことにあるとのことです。

なお、各企業にこの情報を知らせたところ、返答があったのは6つのうち4つの企業で、そのうち脆弱性に対してパッチを用意すると答えたのは2企業のみ。中には研究者らの指摘に対する反論もあったそうですが、Universal Robotsは「指摘された問題についての調査を行っている」というコメントを返したとのことです。


2017/03/09追記

アステラックからのコメントがありましたので、掲載しておきます。

現状弊社が公開しているホビーロボット向けのソフトウェアに
関しましては、あくまでホビー用途に限定されたサンプルになります。
商用にご採用いただく場合には、より幅広い機器や通信方式に
対応させていただいておりますので、セキュリティに関する対策も、
用途に合わせて各種案件ごとに大きく異なります。

この記事のタイトルとURLをコピーする

・関連記事
警備用ロボットがショッピングセンターで暴走して幼児に怪我を負わせる - GIGAZINE

ロボットやAIが「権利を持つに等しい存在」になった時、人間はどう考えるべきなのか? - GIGAZINE

ロボットに法的地位を与えるか議論すべきという提言を欧州議会が採択 - GIGAZINE

「悪魔のように賢い」とGoogleのエンジニアが舌を巻く「悪意あるハードウェア」が登場 - GIGAZINE

人工知能やロボットなどで代替可能な職業100&代替されない可能性が高い職業100まとめリスト - GIGAZINE

「セックスロボットは人間を過度に刺激する可能性がある」と専門家が警鐘を鳴らす - GIGAZINE

ロボットが人間に替わって商品の仕分け作業を行うコンテスト「Amazon Picking Challenge」は吸盤と2本指を持つロボットが制する - GIGAZINE

・関連コンテンツ

in ソフトウェア,   ハードウェア,   セキュリティ, Posted by darkhorse_log

You can read the machine translated English article here.