米セキュリティ企業のIOActiveは3月9日、ソフトバンクの人型ロボット「Pepper」「NAO」の脆弱性を突いてランサムウェアに感染させ、ロボットを遠隔操作する攻撃の実証デモを公開した。

同社が公開したデモ映像では、ランサムウェアを仕込まれたNAOが、突然それまでとは違う声で、「オレはビットコインが大好きだ。ビットコインをよこせ。さもなければ死ぬ準備をしろ。お前はとてもばかに見える」としゃべりだす。

IOActiveはこれまでの研究で、NAOなど複数のロボットに、ランサムウェア攻撃に利用できる複数の脆弱性を発見していたといい、今回はそうした攻撃を実証する目的で、コンセプト実証のためのランサムウェアを開発した。

このランサムウェアは、同社が以前からテストを行っていたNAOと、ほぼ同じOSが搭載され、同じ脆弱性のあるPepperに対しても通用するという。

IOActiveによれば、この攻撃には、これまで公にされていなかった遠隔操作機能を利用した。この機能を使ってリモートでコマンドを実行することで、ロボットのデフォルトの設定の変更や、映像や音声の傍受と外部への送信、権限の昇格などができてしまうという。また、工場出荷時の状態に戻す仕組みを妨害すれば、ユーザーがランサムウェアをアンインストールしたり、システムを再インストールしたりすることもできなくなる。

この脆弱性については、2017年1月にソフトバンクに連絡したものの、いまだに修正された様子はないとしている。

この手口でランサムウェア攻撃を仕掛ければ、例えば全ロボットを停止させたり、客の前でPepperの画面にアダルトコンテンツを表示させたり、ロボットと交流している客を罵倒することなどができるほか、工業用ロボットでは、作業中に乱暴な動作をさせることも可能だとIOActiveは解説する。

多くのロボットは、ソフトウェアの不具合が起きた場合に、リセットして出荷時の状態に戻すことが難しく、そうするためにはコストもかさむ。「ロボットのランサムウェアは真の脅威であり、普通のランサムウェア以上に、企業に多大な経済的影響を与える恐れがある」。IOActiveはそう強調し、今回実証したのと同じランサムウェア攻撃は、NAOやPepperだけでなく、ほぼどんなロボットに対しても可能だと解説。「ロボットメーカーが迅速に対応しなければ、ランサムウェア攻撃は世界中のビジネスを混乱に陥れかねない」と警鐘を鳴らしている。

関連キーワード ロボット開発 | ランサムウェア



Copyright © ITmedia, Inc. All Rights Reserved.