セキュリティ企業のTripwireは6月18日、米Googleのスマートスピーカー「Google Home」とストリーミング用端末の「Chromecast」について、ユーザーの位置情報を高い精度で流出させてしまう問題が見つかった伝えた。この問題を悪用して住所を特定されれば、脅迫や詐欺などの手口に利用される恐れもあるとしている。

Tripwireのブログ

Tripwireやセキュリティ情報サイトのKrebs on Securityによると、この問題は両デバイスの認証問題に起因しており、攻撃者がWebサイトに簡単なコードを仕込むだけで悪用できる。被害者がGoogle HomeやChromecastと同じWi-Fiを使ってコンピュータでこの不正なリンクを開くと、攻撃者が被害者の位置情報を高い精度で特定することが可能になり、番地まで絞り込むこともできてしまう恐れがあるという。

攻撃者が位置情報を取得するためには、被害者が1分ほど不正なリンクを開いたままにしておく必要がある。攻撃用のコンテンツは、悪質な広告に仕込むことも、ツイートに仕込むこともできるという。

Webサイトが収集するユーザーのIPアドレスから、位置情報を特定するのは一般的に行われていることだが、そうした位置情報の精度はそれほど高くない。ところがGoogleの場合、世界中のユーザーが使っているWi-Fiネットワークの位置情報を収集しており、同社の地図情報サービスと組み合わせれば、ユーザーの居場所をかなり高い精度で絞り込むことができてしまう。

こうした情報は、フィッシング詐欺や脅迫などに利用される恐れもあるとTripwireは指摘する。例えば、捜査機関からの警告を装う手口や、流出させた写真を公開するという脅し、あるいは友人や家族の秘密をばらすという脅しに、Google Homeの位置情報をもとに特定した住所を組み合わせれば、偽の警告の信憑性が高まる。

Googleは、Tripwireの研究者から2018年5月に報告を受けた時点では、修正の予定はないとしていたという。しかしKrebsOnSecurityが接触すると姿勢を変えて、両デバイスのプライバシー流出問題に対応すると表明。修正のためのアップデートは2018年7月半ばに公開される見通しだとKrebsOnSecurityは伝えている。

Copyright © ITmedia, Inc. All Rights Reserved.