IOActiveのセキュリティ研究者セザール・セルード氏とルーカス・アパ氏は論文を発表し、今日のロボット技術の多くはハッキングされる可能性があり、人々の命を危険にさらす可能性があることを明らかにした。
ロボットの台頭
人工知能(AI)産業が急成長するにつれ、ロボット産業も主流市場へと躍進しています。掃除ロボット、テレプレゼンスロボット、おもちゃロボットなど、すでに様々なロボットが登場していますが、ロボット技術がさらに進歩し、ロボット自体がより賢くなるにつれて、私たちは家の中で他の家事もこなしてくれるロボットを求めるようになるかもしれません。
IOActiveの論文によると、2020年までにロボット工学への投資額は1,880億ドルに達すると予測されています。その大部分は、ロボットが特定の作業においてより安価な労働力を提供してくれることを利用し、企業がそれを活用しようとする工場用ロボットへの投資となるでしょう。また、高齢者の付き添い、店舗での接客アシスタント、医療従事者、さらには警備員や法執行官としてロボットが活用されるようになるでしょう。
ロボットのセキュリティリスク
モノのインターネット(IoT)の世界を見ればわかるように、多くのメーカーにとってセキュリティは最優先事項ではないようです。これは長期にわたって多くの問題を引き起こしますが、それらの問題は必ずしも製品の顧客に影響を与えるわけではありません。多くの場合、攻撃者の真の標的はインターネットサービスであり、攻撃者はIoTデバイスを乗っ取ることでサービスを停止させようとします。
一方、IoTデバイスの所有者は、コマンドへの応答が遅いデバイスによって不便を感じるだけかもしれません。これは、安全でないIoTデバイスのベンダーが自社製品のセキュリティを向上させるインセンティブを持たないという市場問題を引き起こします。
自動運転車やロボットといったスマートデバイスがハッキングされた場合、その影響ははるかに深刻で、場合によっては生命を脅かす事態に至る可能性があります。こうした製品の顧客が攻撃者の標的となる可能性もあるため、これらの製品メーカーにとってソフトウェアセキュリティはより一層の優先事項となるはずです。しかしながら、今のところベンダーがこれらの問題を真剣に受け止めているという証拠はあまり見られません。
ロボットのセキュリティに問題が発見される
ロボットエコシステムには、ロボット本体、オペレーティングシステム、ファームウェア、ソフトウェア、リモートコントロールアプリケーション、クラウドサービスなどが含まれます。このエコシステムは広大な攻撃対象領域を表しており、潜在的な攻撃者に悪用される機会を豊富に与える可能性があります。
Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。
IOActive の研究者は、複数の企業のロボットのモバイル アプリケーション、オペレーティング システム、ファームウェア、ソフトウェアなど、潜在的な攻撃者がアクセスしやすいコンポーネントをテストしました。
研究チームはロボットのエコシステムのセキュリティを徹底的に監査したわけではないが、そのテストではすでにソフトバンクロボティクス、UBTECH Robotics、Robotis、Universal Robots、Rethink Robotics、Asratec Corp.のロボットに50近くの欠陥が発見されている。これらの企業は業務用および産業用ロボットだけでなく、家庭用ロボットも販売している。
研究者たちは、ほとんどのロボットがインターネット、Bluetooth、Wi-Fi経由の安全でない通信を使用していることを発見しました。ロボットの更新や制御は、平文または暗号化が弱いチャネルを介して行われていました。さらに、ロボットメーカーはロボットのシステムにアクセスするためにユーザー名とパスワードさえ要求していなかったため、誰でもロボットの重要なコンポーネントを遠隔操作できる状態でした。
研究チームはまた、ロボットがデフォルトで安全でない機能を有効にしており、無効化が困難で攻撃者に悪用されやすいことを発見しました。さらに悪いことに、多くのロボットは、平文通信、認証の問題、脆弱な認証方式など、パッチが適用されていない複数の脆弱性があることが知られているオープンソースフレームワークを使用していました。
ハッキングされたロボットの影響
IOActiveの研究者によると、家庭用ロボットは、突然の予期せぬ動きによって家族やペットをスパイしたり、傷つけたりするために悪用される可能性がある。たとえ安全上の理由からロボットの動きに制限が設けられていたとしても、攻撃者はそれを回避できる可能性がある。
家庭用ロボットがより「賢くなる」につれ、家の電気系統を不正操作して火災を起こしたり、食品や飲料に有毒な液体を混ぜたり、鋭利な物を使ってペットを傷つけたりといった悪用も可能になる。また、ホームセキュリティシステムと統合されたロボットは、ハッキングされて警報やカメラを停止させたり、泥棒が侵入できるようにドアの鍵を開けたりすることも可能になる。
ロボットがハッキングされると、攻撃者から回復するのは非常に困難になる可能性があります。つまり、これらのロボットへの投資として数千ドルが失われる可能性があります。
企業が購入したハッキングされたロボットも同様の結果を招く可能性がありますが、攻撃はビジネス環境に合わせてより特化される可能性があります。例えば、ロボットが誤った注文を配達したり、顧客に対して不適切な言葉遣いをしたり、オフラインになったりすることで、企業の収益に悪影響を与える可能性があります。また、ロボットを制御する攻撃者は、クレジットカード情報や企業秘密などの機密情報を盗む可能性もあります。
産業用ロボットは通常、より大型で、より精密で、致命的となる可能性のある動きをするため、さらに危険になる可能性があります。また、産業用ロボットは多数のロボットが全く同じ構成で構成されている傾向があり、すべて一箇所から制御できます。そのため、攻撃者は多数のロボットを同時に制御することが容易になります。
ロボットのセキュリティの向上
IOActive の研究者は、ロボットのセキュリティに関して次のような改善を提案しました。
初日からのセキュリティ:ベンダーは、セキュアソフトウェア開発ライフサイクル(SSDLC)プロセスを実装する必要があります。暗号化:ベンダーは、ロボットの通信とソフトウェアアップデートを適切に暗号化する必要があります。認証と承認:ベンダーは、承認されたユーザーのみがロボットのサービスと機能にアクセスできるようにする必要があります。工場出荷時の状態への復元:ベンダーは、ロボットを工場出荷時のデフォルト状態に復元する方法を提供する必要があります。デフォルトでのセキュリティ:ベンダーは、ロボットのデフォルト設定が安全であることを保証する必要があります。サプライチェーンのセキュリティ確保:ベンダーは、すべての技術プロバイダーがサイバーセキュリティのベストプラクティスを実装していることを確認する必要があります。教育:ベンダーは、ロボットに特定の機能を搭載するかどうかを決定する経営陣を含む、社内の全員に対するセキュリティ教育に投資する必要があります。脆弱性開示:ベンダーは、研究者がセキュリティ脆弱性を報告しやすくする必要があります。セキュリティ監査:すべてのロボットは、生産開始前に徹底的なセキュリティレビューを受ける必要があります。
ロボットはまだ普及していないため、IOActiveのセキュリティ研究者は、悪意のある攻撃者の優先的な標的となる前に、今こそロボットのセキュリティを確保する最適な時期だと推奨しています。ロボットベンダーがこの意見に耳を傾けるかどうかは、まだ分かりません。
ルシアン・アルマスは、Tom's Hardware USの寄稿ライターです。ソフトウェア関連のニュースやプライバシーとセキュリティに関する問題を取り上げています。
