Amazon Alexaに音声入力履歴や個人情報が漏れる脆弱性が報告される

Amazonが世界で2億台以上出荷している、Amazon Echoなどのデバイスに搭載されているスマートアシスタント「Amazon Alexa」にユーザーの個人情報や音声入力履歴が流出する脆弱性があることを、2020年8月13日(木)にセキュリティ企業のCheck Point Researchが報告しています。

Keeping the gate locked on your IoT devices: Vulnerabilities found on Amazon's Alexa - Check Point Research
https://research.checkpoint.com/2020/amazons-alexa-hacked/

In one click: Amazon Alexa could be exploited for theft of voice history, PII, skill tampering | ZDNet
https://www.zdnet.com/article/in-one-click-amazon-alexa-could-be-exploited-for-theft-of-voice-history-pii-skill-tampering/

Check Point ResearchはAmazon Alexaのセキュリティ問題について、「ユーザーに悪質なリンクをクリックさせるだけで、攻撃者はAmazon Alexaの脆弱性を悪用できる」とコメント。例えば、悪質なメールやウェブサイトでフィッシング目的のリンクにアクセスしたユーザーは、Amazon関連のCookieが盗難されてしまう危険性があります。

また、攻撃者はCookieを悪用してユーザーのAmazon AlexaアカウントにインストールされているAlexaスキルのリストを取得したり、クロスサイトスクリプティング(XSS)攻撃によって強制的にAlexaスキルのインストールやアンインストールを行うことも可能。さらに、攻撃者が強制インストールした悪質なスキルをユーザーが実行してしまった場合、攻撃者に音声入力履歴や電話番号・自宅住所・ユーザー名・銀行口座などの個人情報が盗まれる可能性があるとCheck Point Researchは指摘しています。

Check Point Researchの調査によると、Amazon Alexaにおけるセキュリティ問題の原因は2つあり、1つはオリジン間リソース共有(CORS)の設定ミス、もう1つはXSS攻撃を受けやすいAmazon Alexaのサブドメインにあるとのことです。

Alexaは過去にも、ユーザーの会話を勝手に録音し、全く無関係の第三者に会話データを送信するというセキュリティ上の脆弱性が報告されていました。

Alexaが勝手に録音した会話データを全く関係ない第三者に送信してしまう - GIGAZINE

By BestAI Assistant

なお、Check Point Researchは2020年6月の時点で既にAmazon Alexaの脆弱性をAmazonに報告しており、記事作成時点でAmazon Alexaのセキュリティ問題は修正されています。Amazonの広報担当者は「デバイスのセキュリティは最優先事項であり、Check Point Researchが潜在的な問題を報告してくれたことに感謝しています。Amazon Alexaの問題はすでに解決し、システムのさらなる強化を進めています。また、今回のAmazon Alexaにおける脆弱性が悪用された事例や、ユーザーの情報が漏洩した事例はありません」とコメントしています。