便利であるほど、悪用されると、危険性もその分大きくなることです。
Simple is always the best!
研究者のタル・アーター氏はブログ記事の中で「Chromeのバグを利用すれば、プライベートな会話をWebサイトから盗聴できる」と指摘する。一方、Googleは「Chromeの音声認識機能は安全であり、W3C(World Wide Web Consortium)のWeb Speech API規格に準拠している」と述べている。
これがセキュリティ上の問題なのかデザイン上の欠陥なのか、あるいはそのどちらでもないのかという点はさておき、ユーザーはChromeの音声認識機能の存在を意識し、個人情報や社内情報を危険にさらすことなく同機能を利用する方法を知っておかねばならない。
●あなたの会話は盗聴されている?
Googleのトップページに表示される検索ボックスの中には音声認識機能用のマイクのアイコンがあり、そこにカーソルを当てると「音声で検索」と記される。このアイコンをクリックすると、端末のマイクの使用許可を求めるメッセージがブラウザの上部に表示される。「許可」をクリックすると、音声による検索が可能になる。音声認識機能がオンになっている間はブラウザ内にアイコンが表示される。この機能をオフにするか、Googleのサイトを離れると、Chromeはマイクからの音声入力を受け付けなくなる。
「だがChromeが動作している限り、悪質なサイトがマイク機能へのアクセスを悪用し、ユーザーがそのサイトを離れた後でも、端末の近くで行われている会話や会議、電話の通話などを録音する恐れがある」とアーター氏は主張する。同氏によると、いったんユーザーがマイクの使用を許可すると、悪質なサイトあるいは侵入されたサイトは、ユーザーが気付かないようにブラウザのメイン画面の背面に隠れたポップアップウィンドウを開いている可能性があるという。
Googleでは「こういった攻撃が可能となるためには、ユーザーが最初にWebサイト上でマイク機能を有効にし、さらにポップアップウィンドウを許可する必要がある」としている(他の多くのブラウザと同様、Chromeでもポップアップウィンドウがデフォルトで無効になっている)。
Webサイトがユーザーの端末のカメラやマイクにアクセスするときにChromeがユーザーに十分な警告を与えているのか、という点については意見が分かれるかもしれない。だがこの問題を厄介にしているのが、Web Speech API規格はまだ今のところWeb標準になっていないために、今後も変更の可能性があるという事実だ(2014年末にW3C勧告となる見込み)。
ブラウザベンダーにとって最先端の技術を実装することは重要な課題であり、早期のフィードバックは関連規格の策定や改善に役立つ。アーター氏の指摘も、影響がユーザーに限定された比較的小さな問題に焦点を当てたものだ。しかしマイク入力機能を狙った攻撃によってユーザーの知らない間に重要な機密情報が盗み出される恐れもある。新標準を実装することも重要だが、警戒心やセキュリティ意識が低いユーザーを狙う攻撃者からユーザーを守ることも重要だ。HTTPSを通じてWebサイトにアクセスした場合、そのWebサイトでのマイク機能の使用許可は永続的な設定となるが、あらゆるユーザーがWebサイトにアクセスするたびにマイク機能を必ずオン/オフするとは思えない。
企業としては、音声認識が業務で本当に必要な機能なのか判断する必要がある。この機能が生産性を改善するものなのか、それとも間仕切りのないオープンプランオフィスで仕事をする従業員にとって厄介事の種になるのか。総合的なリスク評価が済むまでは、(業務利用が認められている一部のユーザーは例外として)Chromeの詳細設定にある「カメラやマイクへのアクセスをサイトに許可しない」というオプションをグループポリシーで有効にしておくべきだ。
http://headlines.yahoo.co.jp/hl?a=20140905-00000023-zdn_tt-sci
0 件のコメント:
コメントを投稿