セキュリティ企業のＴｒｉｐｗｉｒｅは６月１８日、米Ｇｏｏｇｌｅのスマートスピーカー「Ｇｏｏｇｌｅ Ｈｏｍｅ」とストリーミング用端末の「Ｃｈｒｏｍｅｃａｓｔ」について、ユーザーの位置情報を高い精度で流出させてしまう問題が見つかった伝えた。この問題を悪用して住所を特定されれば、脅迫や詐欺などの手口に利用される恐れもあるとしている。

Ｔｒｉｐｗｉｒｅやセキュリティ情報サイトのＫｒｅｂｓ ｏｎ Ｓｅｃｕｒｉｔｙによると、この問題は両デバイスの認証問題に起因しており、攻撃者がＷｅｂサイトに簡単なコードを仕込むだけで悪用できる。被害者がＧｏｏｇｌｅ ＨｏｍｅやＣｈｒｏｍｅｃａｓｔと同じＷｉ－Ｆｉを使ってコンピュータでこの不正なリンクを開くと、攻撃者が被害者の位置情報を高い精度で特定することが可能になり、番地まで絞り込むこともできてしまう恐れがあるという。

PR

攻撃者が位置情報を取得するためには、被害者が１分ほど不正なリンクを開いたままにしておく必要がある。攻撃用のコンテンツは、悪質な広告に仕込むことも、ツイートに仕込むこともできるという。

Ｗｅｂサイトが収集するユーザーのＩＰアドレスから、位置情報を特定するのは一般的に行われていることだが、そうした位置情報の精度はそれほど高くない。ところがＧｏｏｇｌｅの場合、世界中のユーザーが使っているＷｉ－Ｆｉネットワークの位置情報を収集しており、同社の地図情報サービスと組み合わせれば、ユーザーの居場所をかなり高い精度で絞り込むことができてしまう。

PR

こうした情報は、フィッシング詐欺や脅迫などに利用される恐れもあるとＴｒｉｐｗｉｒｅは指摘する。例えば、捜査機関からの警告を装う手口や、流出させた写真を公開するという脅し、あるいは友人や家族の秘密をばらすという脅しに、Ｇｏｏｇｌｅ Ｈｏｍｅの位置情報をもとに特定した住所を組み合わせれば、偽の警告の信憑性が高まる。

Ｇｏｏｇｌｅは、Ｔｒｉｐｗｉｒｅの研究者から２０１８年５月に報告を受けた時点では、修正の予定はないとしていたという。しかしＫｒｅｂｓＯｎＳｅｃｕｒｉｔｙが接触すると姿勢を変えて、両デバイスのプライバシー流出問題に対応すると表明。修正のためのアップデートは２０１８年７月半ばに公開される見通しだとＫｒｅｂｓＯｎＳｅｃｕｒｉｔｙは伝えている。