Ipad

分析:シアトル横断歩道ハッキングは悪意というよりはいたずらっぽいが、完全に無害というわけではない

分析:シアトル横断歩道ハッキングは悪意というよりはいたずらっぽいが、完全に無害というわけではない
シアトルのサウス・レイク・ユニオン地区にある音声対応の横断歩道ボタンが、アマゾン創業者のジェフ・ベゾスの声に似せて改造された。(GeekWire Photo / Taylor Soper)

公共横断歩道の音声拡張機能は通常、歩行者信号が点灯したときに歩行者に警告する通知を提供することで視覚障害者を支援することを目的としています。

しかし、水曜日にシアトル周辺のいくつかの交差点で、ジェフ・ベゾスのような声で人々が挨拶された。

「この横断歩道はアマゾンプライムがスポンサーで、重要なメッセージを伝えています。金持ちに課税しないでください。さもないと、他の億万長者も全員フロリダに移住してしまいます」と声は言った。

これは、ベイエリアで同様の事件が発生し、Meta CEO のマーク・ザッカーバーグや Tesla CEO のイーロン・マスクのような声が同様に信じ難いメッセージを伝えているという報告に続くものだ。

ここでは2つのハッキングが行われています。1つは、AIを使って著名人のなりすまし音声を作成し、本人が伝えないようなメッセージを伝えることです。もう1つのハッキングは、横断歩道のボタンにそのなりすまし音声を再生させることです。

最近、AIが生成したなりすましメールをめぐっては多くの懸念と議論が交わされていますが、今回のハッキング事件のこの点はそれほど驚くべきことではありません。なりすましメールの被害者が実際にこのようなメッセージを送信しているという考え自体が突飛で、メッセージが本物だとは誰も思わないでしょう。

これらの点を総合すると、このハッキングは悪意があるというよりはいたずらっぽく、脅威というよりは迷惑なものになります。

しかし、これらのハッキングの背後にいる人々は、どのようにしてその音声を横断歩道のボタンの音声に組み込んだのでしょうか?これは比較的新しい、そして異例な現象であり、当然ながら懸念を抱かせるものです。

横断歩道は交通安全インフラの一部であり、重要なインフラに対する攻撃については長年にわたって懸念されてきたため、今回のハッキングははるかに深刻で、悪意のある脅威である(またはそうである可能性がある)のではないかと人々が心配するのも当然です。

この種のハッキング方法を紹介するYouTube動画では、非常によくある問題、つまり、横断歩道ボタンデバイスでよく知られているデフォルトの認証情報を変更せずに放置することで、このようなハッキングが可能になることが明らかになっています。実際、動画でも指摘されているように、横断歩道ボタンデバイスの認証情報さえ知っていれば、アプリをダウンロードして接続するだけで簡単に音声を変更できます。

シアトル、あるいはベイエリアでのハッキングがどのように実行されたのかは完全には明らかになっていません。しかし、上の動画に示されているような何らかの形で実行されたと仮定してみましょう。

このことから、いくつか重要なことがわかります。まず、「横断歩道ボタンシステム」や「交通安全インフラシステム」に対する大規模なハッキングは発生していないということです。実際には、横断歩道ボタン装置に対する一連のハッキングが、一つずつ発生しているのです。

第二に、攻撃者はこれらのデバイスの音声データ以外には何も侵害していないことがわかります。これは、SolarWinds攻撃やランサムウェア攻撃のような高度な攻撃ではありません。攻撃者は、侵害されたデバイスを別の、より深刻な攻撃に転用することはありません。侵害は音声メッセージのみで始まり、音声メッセージのみで終わります。

最後に、この攻撃は本質的に、あるメッセージを別のメッセージに置き換えるだけなので、復旧は簡単です(ただし面倒です)。技術者を派遣して、ハッキングされたメッセージを公式メッセージに置き換えます。

根本的な問題はよくあるものです。実際、これは私が2019年に書いた、Amazon Ringデバイスに対する一連のハッキングの背後にあった問題、つまり安全でないデフォルトの認証情報と同じものです。

そして、2010年代初頭に発生した交通安全システムへの一連の攻撃は、不適切なデフォルト認証情報が原因であったことが判明しました。当時は、道路工事の標識を改ざんしてゾンビの攻撃を「警告」するハッキングが相次ぎました。

では、なぜ今このようなことが起こっているのでしょうか?これは組織的なキャンペーンが行われていることを意味するのでしょうか?

いえ、そうではありません。これは「バンドワゴン効果」のことです。つまり、人々がこの現象を見て、素晴らしいと思って、それに倣おうとするのです。シアトルの皆さん、申し訳ありませんが、今回はベイエリアが先駆けだったということです。

ハックには独自の流行やトレンドがあり、これはかつて流行った交通標識ハックと同じように、流行のハックの 1 つです。

この脆弱性が徐々に薄れていくもう一つの理由は、防御側(つまり交通局)が攻撃者がこの脆弱性を認識し、対策に乗り出すだろうということです。おそらく交通局は、改ざんされたデバイスの修復とパスワード変更のために作業員を派遣するでしょう。また、まだ影響を受けていないデバイスのデフォルトの認証情報の変更にも取り組むでしょう。そして、この活動にまだ気づいていない自治体も、積極的に確認と対策を実施するでしょう。

このハッキングが全く無害だというわけではありません。横断歩道ボタンの音声メッセージを改変することで、ある程度の危険性をはらんでいます。これは、これらのメッセージに依存している人々に影響を与える可能性があります。しかし、メッセージは明らかに改変されており、ほとんどの人が正しく機能していないと理解できるはずです。したがって、横断歩道ボタンの音声ハッキングは、全体として「悪意のある脅威」というよりも「迷惑行為」のカテゴリーに分類されると言えるでしょう。

セキュリティに長く携わっていると、このような事件が何年もの間、何度も繰り返されるのを目にするでしょう。そして、それらは常に一定の予測可能な軌跡を辿ります。このようなハッキングはあと数日、数週間続くと予想されますが、その後はほぼ消滅するでしょう。

しかし、これには一つの良い目的があります。それは、他者の手に渡れば、より悪質な方法で悪用される可能性があった脆弱性を浮き彫りにすることです。このように、横断歩道ボタンのデフォルトの認証情報のリスクを浮き彫りにすることで、将来的に大きな被害を防ぐのに役立つかもしれません。