音声アシスタントは、人間が認識できない音も聞き取ることができるらしい

10代の若いころ、モスキート音なんて話すら聞いたことはなかったけど、きっと音だけは聞こえたのでしょう。今は比較確認のしようがないのでまったく解りませんw

人間には聞き取れない音を聞き取る音声アシスタントカスペルスキー公式ブログより

音声で制御されるガジェットが持つ危険については、過去にKaspersky Dailyで取り上げました。今回注目するのは、私たちには聞き取れない音声にデバイスを従わせる「サイレントな」攻撃です。

この種の攻撃の中には、超音波を使うものがあります。浙江大学のリサーチャーらは2017年に発表された記事の中で、音声アシスタントのコントロールをひそかに掌握するDolphinAttackというテクニック(英語記事)を紹介しました。この名前は、イルカが超音波を出すことに由来しています。この調査チームは、音声コマンドを超音波に変換して使用しました。超音波は周波数が高すぎて人間には聞こえませんが、最新デバイスのマイクなら認識できます。

受信側のデバイス(スマートフォンなど)で超音波が電気インパルスに変換されると、音声コマンドを含むオリジナルの信号が復調されます。このメカニズムは、録音するとき音声にひずみが生じた場合の働きと似たようなものです。デバイスに特別な機能があるわけではなく、変換プロセスの1仕様にすぎません。

結果として、標的となったデバイスは音声コマンドを聞き取って実行し、攻撃者はあらゆる可能性を手にすることになります。この調査チームは、Amazon Alexa、Apple Siri、Google Now、Samsung S Voice、Microsoft Cortanaなど、一般的な音声アシスタントのほとんどでこの攻撃を再現することに成功しました。

一部引用しましたが、さらに詳しいことはリンク先を参照下さい。

様々な機器がネットワークにつながり、家電や自動車などへの攻撃もあるようです。最近だと、Xiaomiの人気電動スクーターに対し、簡単に外部から無線で操作できるとの指摘の記事がありました。

実際に大きな問題は起きていないようですが、問題は事故に繋がるリスクが実際に存在するということです。もちろん起きてしまうと大きな事故になってしまいますが、起きるまで問題無いのではなく、それぞれの強みや弱みを理解した上で便利に使っていくことしかないと考えています。そもそも使用しないという選択肢も含まれています。

スマートデバイスへの攻撃

勝手な想像をしてみます。聞こえない音を使ってスマートデバイスのコントロールができるならば、何をしてみますか?

よくある話(本当によくあるのか疑問)ですが、透明人間になったら何をするか?みたいな話。やはり○○や△△をしますよね? xxでもいいかもしれないと、色々と楽しくなってきますw

イタズラのレベルから、ちょっとシャレならないことまで出来そうな感じがします。

聞こえない音に反応するのならば、外から攻撃したり、オカルトDVDなどに聞こえない声いれてスマートデバイスに反応させたりと…結局、ろくなことしか考えつきませんw

しかしこれ、何らかの条件を揃えれば、十分に悪意を持ったことが出来そうです。例えば、疲れたときに見る環境映像DVDをスマートデバイスと連動させるものなど。実際には聞こえない音を仕込むので、色々な命令を出せそうです。やっぱ疲れているなぁ…となることでしょう。インチキな疲労回復グッズも売れそうです(爆)

スマートフォンの音声アシスタント攻撃

大きな中身は、さっきと変わらない感じがしますが、常に手元にあるので置き型のスマートデバイスよりは、イヤな感じが倍増しそうです。最近は随分と減った気がしますが、携帯に届く架空請求メールや不幸の手紙系など…届いた瞬間に気分がドンヨリします。

これ、人の多いところや、先と同じ特定の環境や条件などがあれば、聞こえない音でも音声アシスタントは反応するかもしれません。

勝手に電話をしたり、ビデオ流したり…ほぼ何でもできそう。自分は指示してないのに勝手に動き出すと、これはお祓いに行った方がいいかもしれないという結論しかでないほど、気味の悪い感じしかしません。

やはりここでもインチキなことしか浮かびませんが、霊感商法的なグッズも飛ぶように売れそうです。よくわからないシールなど…値段も高い方が効果がありそうな感じがすることもGoodですね(爆)

対処?確認方法

その事象が何をトリガーとして起きているのか?中々判断がつかないと思います。まずは気になる項目を確認する切り分けですね。これに限らず、よくある不具合追及の切り分けとまったく変わりません。

そして項目を1つずつ潰していく(この場合、電源切るなど)とても面倒なことですが、ある条件を探し出さなければ、問題解決に繋がっていきません。別なパターンを何通りか試してみれば、ある程度の方向?見通しなど問題に近づいていくはず。これセキュリティにも応用出来る基本技。

聞こえない音は、自身には聞こえないから無いと同じことですが、実際には無くはないという文字に書くと面倒な言い回しになってしまいます。

とりあえず、ネタとしてこういう攻撃もあることを知っておくだけでも、きっといつか何かの役に立つかもしれません。

The following two tabs change content below.

新倉茂彦

TCNIC Co., Ltd. 代表取締役 / セキュリティプロデューサー / M.B.A. 経営情報学修士 / 密教学修士ブログ
日々,目の前で起きる「セキュリティ」なことだけを考えています。表があれば裏があるように、様々な視点から見て考えるように意識しています。 人の「こころ」に興味を持ち、仏教的アプローチからセキュリティを探求中。

45の事例から知る:情報セキュリティ研修

実際の事例を元に作成した、五十音「情報セキュリティ標語」を教材として使用します。

■ 座学の場合:1事例2分程度、45事例すべて実施(90分の研修)
様々な事例を知る ⇒ 基礎知識が身につく
⇒ 身近な事例を自身に置き換えることで、応用できる対応能力スキル向上を目指します。

■ 演習の場合:目安は5分から30分程度、熟考することにより深く身についていきます。
(直近で起きた社内事故や身近な事例等、事例の深掘り次第で時間は変わります)
身近な事故事例をテーマ ⇒ 自ら(グループで)考える
⇒ 他者との討論(発表など)により、多面的なヒントを得ることを目指します。