中古のAmazon Echoを調べたら、そもそもみんな個人情報を消してなかったし、リセットしても個人情報を復元できてしまった

  • 71,603

  • X
  • Facebook
  • LINE
  • はてな
  • クリップボードにコピー
  • ×
中古のAmazon Echoを調べたら、そもそもみんな個人情報を消してなかったし、リセットしても個人情報を復元できてしまった
Image: Victoria Song/Gizmodo US

中古品を売る、譲渡する時には改めて気をつけましょう。

Amazon Echo等のIoTデバイスは、一般家庭にも普及し、新しいデバイスもどんどん登場するので、使わなくなった中古デバイスをメルカリ等でリセールするのは当たり前になってきました。アマゾンは製品の利用後、個人情報の消去のためにデバイスを工場出荷時状態までリセットしてから、他者への販売や譲渡することを推奨しています。

しかしデバイスを単純にリセットしただけでは、そのデータがこの世界から抹消されるわけではありません。その端末を再販することで、その古い個人情報が蘇ってしまう可能性も仮説上あり得るのです。

中古のAmazon Echo Dotを分析してみた

ノースイースタン大学の研究者は、16ヵ月間、中古で購入した「Amazon Echo Dot」86台のリバースエンジニアリングを行ない、セキュリティ上の欠陥を解明しようと試みた研究結果を発表しました。

研究チームは、eBayやフリマなどで入手した中古デバイスを分解、部品を整理し、仕組みの理解から進めていきました。

多くはリセットされていなかった

最初に明らかになったことはおそらく最も意外なものでした。Amazon Echoをリセールしたユーザーのほとんどは、デバイスを工場出荷時状態まで戻していなかったのです。そのため、古いデータの大半がデバイスに残っていて、研究者たちは、元の所有者の無線LAN情報、Amazonアカウントの認証情報、ルーターのMACアドレスなどに簡単にアクセスすることができたそうです。

リセットされていたデバイスも、個人情報の復元が可能だった

そして、工場出荷時状態までリセットされたデバイスも、完全に情報がリセットされているわけではないことが研究によって明らかになりました。アマゾンの言説とは逆で、工場出荷時状態にリセットされたデバイスに残る多くの重要な個人情報は、実際に復元できたとのこと。これは、デバイスがNANDフラッシュメモリ(あるプロセスにより、デバイスをリセットしても実際にはデータが削除されない記憶媒体)を使用して情報を保存していることに起因しています。

工場出荷時状態ににリセットしていても、過去のすべてのパスワードやトークンなどを含む個人情報が、フラッシュメモリーに残っていることを我々は証明しました。これは、フラッシュメモリーのウェアレベリングアルゴリズムと、暗号化の欠如によるものです。このようなデバイスに物理的にアクセスできる人(中古品を購入するなどした人)は、Wi-Fi認証情報や、(以前の)所有者の物理的な位置情報、サイバー物理デバイス(例:カメラやドアのスマートロック)などの機密情報を取得することができます。

しかしこのようにデバイスの個人情報を抜き取るには、それなりの知識が必要であることは言うまでもありません。研究者自身がデバイス全体を分解した上で、フラッシュメモリのはんだを除去し、そして別のデバイスを使ってフラッシュメモリの中身を取り出す…というところまで行なっています。研究論文によると、慣れれば20-30分でこの作業は完了するそうですが。

IoTデバイスを手放す際はよく考えたほうがいい

この件に関して、米Gizmodoがアマゾンにコメントを求めたところ、アマゾンは以下の声明を出しました。

デバイスのセキュリティは最優先事項です。潜在的な問題を指摘してくれた独立した研究者の活動に感謝しており、デバイスの安全性をさらに高めるために、追加の緩和策に取り組んでいます。お客さまに対しては、リセールやリサイクル、廃棄する前に、デバイスの登録を解除し工場出荷時状態までリセットすることを推奨しています。Amazonアカウントのパスワードや支払いのクレジットカード情報はデバイスに保存されていないため、メモリから取り出すことは不可能です。

そうですか。

スキルがあるセキュリティ専門家が、古いAmazon Echoから個人情報をジャックする可能性は低いと思いますが、大規模ネットワークに侵入するためのファーストステップとして、個人をターゲットにすることはよくある手法です。

今すぐ自分の個人情報が盗まれる可能性は低いにせよ、ユーザーの個人情報を記録するこういったIoTデバイスは、必ずしも堅牢な金庫のようなセキュリティレベルではないことが示された一例となりました。

Amazon Echoに限らず、古いデバイスを譲渡したり販売する場合は、入念にアカウント登録を解除した上で工場出荷時状態まで戻すように気をつけましょう。どうしても心配なら、デバイスをハンマーで破壊してから廃棄しましょう。