ロボットが接客するホテルチェーン「変なホテル」を運営するH.I.S.ホテルホールディングス（HD）は10月17日、「変なホテル舞浜 東京ベイ」（千葉県浦安市）の全100室に設置していた卵型コミュニケーションロボット「Tapia」に脆弱（ぜいじゃく）性が見つかったと発表した。悪意のある宿泊者がプログラムに攻撃を加えると、不正操作できる状況だったという。

H.I.S.ホテルHDは調査の結果、同ロボットに不正なプログラムが仕掛けられた形跡はなかったとしている。セキュリティー対策強化も済ませたという。

数日前にTwitter上で指摘

Tapiaの脆弱性を巡っては、「Lance R. Vick」と名乗る宿泊客が10月12日に、「変なホテルのロボット『Tapia』（のプログラム）を書き換えると、他の客の映像や音声を取得し、遠隔地から任意のタイミングで視聴できる」とTwitterに投稿。ツイートには、端末管理画面が表示されたTapiaの画像と共に、「90日間の猶予期間を与えたが、ベンダーは対応してくれなかった」といった内容も記されており、真偽が注目されていた。

H.I.S.ホテルHDによると、ツイートにある通り、約90日前の7月6日にセキュリティの脆弱性を指摘するメールが宿泊客から届いていたという。これを受け、同社とTapiaの開発元であるMJIが共同で調査したが、「不正操作を含めたリスクは極めて少ない」と判断。メールは報奨金など見返りを目的とした不審なものだと結論付け、差出人との接触を避けたとしている。

再調査で「リスクは否定できない」

しかしその後、Twitter上で10月12日の投稿を確認したため、MJIが再調査した結果、「一部の悪意を持った宿泊者が、直接ロボットを操作することのリスクは否定できない」ことが16日に判明したという。

この結果を踏まえ、H.I.S.ホテルHDは17日、変なホテル舞浜 東京ベイの客室にあるTapiaを撤収。不正なソフトウェアやアプリケーションの有無を精査した結果、どのロボットにもインストールされていないことを確認したという。万が一に備え、同店舗の全コミュニケーションロボットに不正アクセス対策を施したとしている。

H.I.S.ホテルHDの広報担当者は「セキュリティに穴があったことは事実だが、ツイートで指摘があったように、宿泊客の映像や音声を視聴できる状況だったとは断定できない。プログラム次第では可能だったかもしれないが、調査では不正なソフトやアプリは見つからなかった」と説明した。

現時点で、ロボットの脆弱性を指摘するメールやツイートは他に届いておらず、Tapiaを設置しているのは変なホテル舞浜 東京ベイのみであるため、他の店舗の調査は行っていないという。

同社は「SNS投稿をご覧になった方や、今後ご宿泊を計画されている方に不安な気持ちを抱かせてしまいましたことを深くおわび申し上げます」とコメントしている。

ITmedia NEWS編集部は、Tapia開発元のMJIに、一般向けモデルの脆弱性の有無について質問状を送付している。回答が得られ次第お伝えする。