PR

 世界のセキュリティベンダーのブログから、サイバーセキュリティに関する最近の話題を紹介する。今回は、ちょっと変わった話題から。米グーグルのめがね型ウエアラブルコンピュータ「Google Glass」のセキュリティに関する問題である。米シマンテックがブログで提起している。

 Google Glassは4月下旬に、「Glass Explorer」と呼ばれる一般ベータテスター向けにリリースされた。Glass Explorerは、ハッシュタグ「#ifihadglass」を付けた50ワード以内のエッセイを応募し、Google Glassを1500ドルで購入する権利を獲得した人々である。

 Google Glassは、あらゆることができそうなデバイスという賞賛の声が聞こえる一方で、議論も呼んでいる。Google Glass購入権を得た8000人は厳しいユーザーライセンス契約を結ばなくてはならない。ライセンス契約に基づくと、Google Glassを転売、貸与、譲渡した場合、当該製品は非アクティブ化され、使えなくなる。これは、購入者の1人がGoogle Glassを「eBay」サイトで売ろうとしてグーグルから連絡を受けたあとに初めて判明した。しかし、デバイスの変更やルート権限奪取については、保証と技術サポートが無効になる以外、制限はないようだ。

 米国のセキュリティ研究者であるJames Freeman氏は、Google Glassをグーグル本社から入手したことをブログに書いた。同氏がルート権限を奪取したGoogle Glassの写真を投稿すると、技術業界は騒然とした。Freeman氏はGlass Explorerではないが、2012年の「Google I/O」カンファレンスに出席して、Google Glass購入権を獲得していた。同氏がGoogle Glassを購入した主要目的はカスタマイズであり、そのためにGoogle Glassをジェイルブレイク(脱獄)する必要があった。

 Google Glassは「Android 4.04」を基盤にしており、他のOSと同様に、既知の脆弱性や攻撃コードが存在する。Freeman氏は、まだ名前が付けられていない攻撃コードを分析して、それをGoogle Glassに応用できるか確認しようとした。

 完全なルート権限を取得するためにはGoogle Glassのデバッグメニューを開く必要がある。スマートフォンでは通常、デバッグメニューはロックされ、認証番号(PIN)がなければアクセスできない。しかしGoogle Glassでは、デバッグメニューはロックされておらず、簡単にデバイスにアクセスできるようになっていた。

 Freeman氏は、「Google Glassを常に装着しているとしても、かけたまま寝たりシャワーを浴びたりはしないだろう。ほとんどの人は、当然かけっぱななしではなく、長い間、どこかに置いておく可能性が高い。それが誰でも手に取れる場所だったら、設定パネルからデバッグモードに入り、adb(Android Debug Bridge)アクセスでセキュリティ攻撃プログラムを起動し、ルート権限を奪うことは簡単だ」と注意を促している。

 また、「Google Glassが長時間放置されている必要はなく、別のAndroid搭載デバイスをポケットの中に入れて、USBケーブルをシャツの下のポケットから右袖に通せば、ちょっとした早業でGoogle Glassを試着し、不正ソフトウエアをインストールできてしまう」と付け加えた。

 Google Glassのように身に着けながら情報を記録できるデバイスを使ってユーザーを攻撃する巧妙な手段は、そう遠くないうちに登場すると、シマンテックは予測している。こっそり追跡されたり、ATMのPIN番号を記録されたりするなど、考えられるプライバシーの懸念を挙げればきりがない。