IoTで構築した「スマートホーム」は通信を暗号化していても生活をのぞき見される可能性があるという研究結果

さまざまな物を無線通信によってインターネットにつないで相互に制御する技術が「IoT(Internet of Things)」です。IoTを駆使することで、家の家電や器具をセンサーと連動させたりスマートフォンで遠隔操作したりする「スマートホーム」が可能になります。もちろんIoTに使われる無線通信は傍受を防ぐために暗号化されていますが、わざわざ暗号を解読しなくても、ネットワーク上を流れている情報の量やタイミングを解析するだけで第三者がユーザーの生活は十分把握できるという研究結果が報告されています。

[1808.02741] Peek-a-Boo: I see your smart home activities, even encrypted!
https://arxiv.org/abs/1808.02741

Encryption doesn't stop him or her or you... from working out what Thing 1 is up to • The Register
https://www.theregister.co.uk/2018/08/10/internet_of_things_encryption_snooping/

IoTによって、家にあるさまざまな家具や設備をネットワーク上から操作可能になります。例えば以下のイラストのように、「帰宅前に玄関のライトを点灯する」「スマートロックを解除し、ドアを開けるとセンサーで廊下の明かりが点灯する」「廊下の明かりや人の動きをセンサーが読み取る」などがすべて自動で行われます。家全体のシステムが人の生活に自動で適応するというわけです。

Wi-FiやBluetooth、ZigBeeなど、IoTで用いられる無線通信は第三者に傍受されても解読できないよう暗号化されています。しかし、フロリダ国際大学やダルムシュタット工科大学などの研究チームは、暗号化されたデータを復号化しなくても、ネットワーク上を流れる情報のパケット量・到着時間などのトラフィックパターンからユーザーの行動内容が明らかにできると指摘しました。

研究チームは実際に22台のスマート機器やセンサーからトラフィックをサンプリングし、暗号化されていないヘッダーをトラフィックのパターンと共に組み合わせて解読したところ、それぞれのスマート器具やセンサーの到着時間やパケット量を突き止めることができました。

さらに、ネットワークトラフィックを盗聴して機械学習で解析を行ったところ、ユーザーの状態と行動を90％以上という高い精度で識別することができました。どれだけ無線信号の内容を強固に暗号化しても、IoTネットワーク上に流れる情報の量とタイミングを解析するだけで、ユーザーの生活パターンは第三者に筒抜けになってしまうというわけです。

なお、研究チームは、メーカー側がユーザーを保護する場合は、デバイスの状態を推測できないように、ランダムなノイズデータをわざと流してトラフィックストリームをかく乱するやり方が簡単だろうと述べています。