ウェアラブルには3つの攻撃対象領域がある

Black Hat Asiaウェアラブル デバイス、および構成を支援するアプリに依存するものには、少なくとも 3 つの攻撃対象領域があり、既存の安全な開発ライフサイクルでは、それによって生じる複雑さに対処できない可能性があります。

今日シンガポールで開催されたブラックハットアジアカンファレンスで、インテルのスポーツグループのセキュリティリサーチマネージャーであるカヴィア・ラチャルラ氏とディープアーマーの創設者兼CEOであるスマンス・ナロパンス氏がそう語った。

両氏は、典型的なウェアラブルは急いで開発され、構想から出荷まで6か月かかることもよくあるため、セキュリティ上のあらゆる問題を検討する時間があまりないと説明した。

ウェアラブル自体には、ストレージとネットワーク接続を備えたコンピューターという、予測可能なセキュリティ要件があります。しかし、ウェアラブルは個人利用を目的としているため、個人データが漏洩する可能性もあります。ラチャラ氏によると、自身の調査で、音声プロンプトに使用されるテキストを平文で保存しているウェアラブルが明らかになったとのことです。同じファイルにユーザー名も保存されている場合、それも平文で保存されます。

ウェアラブルデバイスは複数のスマートフォンアプリとデータを共有することが多いため、事態はさらに複雑になります。あるアプリはデータを記録し、別のアプリは音楽をコントロールし、さらに別のアプリはアプリにTXTメッセージを送信するといった具合です。しかし、2人によると、Bluetoothはモバイルデバイス上のすべてのアプリと信号を共有するため、運動トラッカーで利用するための個人情報が他のアプリに漏洩したり、ウェアラブルデバイスからのBluetoothフィードを吸い上げるマルウェアに利用されたりする可能性があるとのことです。こうした懸念は、開発者がウェアラブルデバイスとスマートフォンの接続に適切な暗号化を適用し、Bluetoothを正しく実装していることを前提としています。一度でもミスをすれば、その後はどうなることやら。

そしてクラウドがあります。多くのウェアラブルデバイスはクラウドにデータを保存・分析し、ユーザー（着用者 –編集者注）がパフォーマンスを把握できるようにしています。AWS S3バケットの設定ミスといった些細なミスでも問題を引き起こす可能性があり、単純なXSS攻撃でも個人データが漏洩したり、ウェアラブルデバイスが特定されたりする恐れがあります。

ナロパンス氏によると、事態をさらに複雑にしているのは、1つのウェアラブルデバイスが複数の企業によってブランド変更されているにもかかわらず、すべてのデータが単一のデータベースに保存されているという状況を知っていることだ。このような状況では、開発者はナイキの顧客とアディダスの顧客を区別するために注意を払う必要がある、とナロパンス氏はリスクの例として挙げている。

そこで、Racharla氏とNaropanth氏は、ウェアラブルデバイスが要求する迅速な開発サイクルを考慮し、共通のセキュア開発ライフサイクルを拡張するというアイデアを提唱しました。二人は、セキュリティとプライバシーのための明確なライフサイクルを追加する開発手法と、ウェアラブルデバイスからデータ漏洩が発覚した場合のインシデント対応計画の策定を推奨しました。この計画は、法務チームがウェアラブル製品の開発に深く関与する必要があることを意味します。

両氏は、今回説明した問題はウェアラブルに限ったものではないと付け加えた。多くの産業用デバイスはスマートフォンアプリでプロビジョニングされ、ローカルゲートウェイやマルチテナント型クラウドサービスに直接接続している。こうしたデバイスにも3つの攻撃対象領域が存在する。そして、Miraiボットネットがビデオカメラに出現した際に我々が目にしたように、攻撃者に必要なのは悪意ある行為を実行することだけだ。®