11歳の少年がテディベアをハッキングして「オモチャが武器になる危険性」を語る

By Björn LáczayT

テキサス州オースティンの学校に通う11歳の少年ルーベン・ポールくんは、オランダで開催されたサイバーセキュリティ関連の会議に参加して、数百人の聴衆を驚かせました。ポールくんが行ったのはインターネットとつながるテディベアのハッキングで、これを通してモノのインターネット(IoT)端末の危険性を訴えています。

Boy, 11, hacks cyber-security audience to give lesson on 'weaponisation' of toys | World news | The Guardian
https://www.theguardian.com/world/2017/may/17/boy-11-hacks-cyber-security-audience-to-give-lesson-on-weaponisation-of-toys

オランダのデン・ハーグにあるワールド・フォーラム・コンベンション・センターで開催されたサイバーセキュリティカンファレンスの中で、11歳の少年であるルーベン・ポールくんが、「飛行機から自動車、スマートフォン、スマート家電、さらにはオモチャまでIoTになり得ます。そして、これらは武器にすることができます」と語っています。さらに、ポールくんはWi-FiとBluetoothを介してクラウドに接続し、メッセージを送受信するテディベアを用いて自身の考えを実証しています。

ポールくんの持ち込んだノートPCには「Raspberry Pi」が接続されており、これを用いて会場内に存在するBluetooth端末をスキャンし、それらの端末にデータをダウンロードさせました。そして、プログラミング言語のひとつである「Python」を用い、テディベアをハッキングしライトを点灯させたり音声を録音させたりするというデモンストレーションを披露したそうです。

ルーベンくんは、「インターネットに接続される端末のほとんどがBluetooth機能を持ち合わせていますが、僕はこういった端末に接続して音声を録音・再生するコマンドを送ることができます。自動車や電球、冷蔵庫など、日常生活で使用するものはなんでもIoTにすることができます。そして、これらは簡単に人々の生活をのぞき見たり害を与えるための『武器』に変身させることができます」と語っています。

IoT経由でパスワードなどの個人情報を遠隔地から盗み出したり、GPSを用いて誰がどこにいるのかを監視したり、テディベアをハッキングして「○○で会おうよ」と子どもに話しかけることまでできる、とポールくんは主張しています。

実際にインターネットにつながったクマのぬいぐるみから、数百万件分の録音データが漏洩するという事件が2017年2月に判明しています。

クラウドを通じてボイスメッセージを再生するクマのぬいぐるみが数百万件の録音データを漏洩 - GIGAZINE

また、IoT端末がアタッカーにハッキングされて悪用されるという事件が2016年にも起きて大きな話題となりました。

毎秒1テラビットという史上空前のDDoS攻撃が発生、攻撃元はハッキングされた14万5000台ものウェブカメラ - GIGAZINE

ポールくんの父親は情報技術の専門家で、ポールくんが6歳の頃から彼にIT関連のスキルを教え始めたそうです。自身の父親からスマートフォンゲームがどのように動いているのかについて簡単な説明を聞いたポールくんは、人気ゲームのAngry Birdsと同じようなアルゴリズムを考え出したこともあるそうです。そんなポールくんが初めてオモチャの車をハッキングした際、父親のマノー・ポールさんは子ども向けのオモチャのプログラム内に存在するあまりにも粗末な脆弱性に「ショックを受けた」とAFPのインタビューで語っています。

ポールくんは「子どもや大人に向けてサイバーセキュリティの危険性を訴えること」を目標としており、製造業者やセキュリティ研究者、政府が協力せざるを得なくなるようなメッセージを公開したいと語っています。

なお、ポールくんは11歳でサイバーセキュリティに関する知識やスキルを普及するための非営利団体CyberShaolinの代表を務めています。