あなたのスマート家電を見張る研究目的のツールが登場

プリンストン大学の研究チームが、スマート家電が何をしているかをあなたが(そして研究者チームが)調べることのできるWebアプリを開発した。

「IoT Inspector」というオープンソースのツールは、ここからダウンロードできる(現在はmacOS版のみで、Windows版とLinux版が計画されている)。

研究者たちはブログで、この取り組みの目的はインターネットに接続する装置のネットワークトラフィックを分析するシンプルなツールを消費者に提供することであると述べている。スマートスピーカーやWi-Fi対応のロボット掃除機といったデバイスのデータが第三者と共有されているかどうか(あるいは実際にこうしたガジェットからどの程度データが盗み出されているか)を確かめられるようにするというのが基本的な考えだ。

IoT Inspectorを研究室でテストした研究者は、Chromecastデバイスはアクティブに使われていないときでもしょっちゅうGoogleのサーバーに接続していることがわかったと述べている。

Geeni社のスマート電球もクラウドと頻繁に通信し、IoTデバイスを制御するプラットフォームで中国を拠点をする企業が運営しているURL(tuyaus.com)経由でトラフィックを送受信していることがわかったと言う。

このようにデバイスを調べる方法は、ほかにもある。たとえばWireSharkのようなパケット分析ソフトを使ってIoTのトラフィックをキャプチャするワイヤレスホットスポットをセットアップする方法などだ。しかし専門知識が必要で、消費者にとっては難しい。

研究者は、今回開発したWebアプリは専用のハードウェアや複雑なセットアップを必要としないので、自分でデバイスのパケットを傍受するよりも簡単に調べられるとしている。

ちょっとした問題がひとつある。このWebアプリはSafariでは動作しない。FirefoxかGoogle Chrome(またはChromiumベースのブラウザ)が必要だ。

注意が必要なのは、プリンストン大学のチームはIoTの研究に役立てるためにデータを収集しようとしていることだ。このツールを使う人は、スマート家電の研究に貢献することになる。

研究チームのプロジェクト名は「消費者向けIoTデバイスがもつプライバシー、セキュリティ、パフォーマンスのリスクを特定する」である。主任研究員は、同大学コンピュータサイエンス学部のNick Feamster教授とポスドク研究者のDanny Yuxing Huang氏である。

プリンストン大学のチームは、IoTデバイスのプライバシーとセキュリティのリスクおよびネットワークパフォーマンスのリスクを研究するのが目的であるとしている。しかし、通常の研究倫理承認プロセスを経た後でプリンストン大学以外の研究者にもデータ全体を共有する可能性があるとも述べている。したがってIoT Inspectorを使う人は、少なくとも1つの研究プロジェクトに参加することになる(ただし、デバイスごと、あるいはアカウントごとに、収集されたデータを削除することもできる)。

研究チームは以下のように述べている。「IoT Inspectorに関しては、私たちがオープンソースをつくる最初の研究コミュニティだ。このオープンソースは、各デバイスにIDを付け、実際のIoTネットワークトラフィックのデータセットを匿名化したものである。データ分析やデータ収集の改善、またIoTのセキュリティやプライバシー、ネットワークパフォーマンスといった関連分野の知見を深めるために私たちと協力する研究者を募っている」

研究チームは広範囲にわたるFAQを作成している。ツールの使用を考えている人は、ネットワークのトラフィックを見張ることを明示的に意図したこのソフトウェアに関わる前に必ず読むべきだ(トラフィックのデータを横取りするためにARPスプーフィングを使用しているため、ネットワークが遅くなるおそれがあり、またソフトウェアにバグがあるかもしれない)。

トラフィック分析ツールによって集められたデータセットは匿名化される。また研究チームはパブリックIPや位置情報は収集しないと明言している。しかしそれでもプライバシーのリスクはある。例えばあなたの本名がスマート家電の名前に使われているかもしれない。繰り返すが、参加するならFAQを熟読してほしい。

ネットワーク上のIoTデバイスに対して、ツールは複数のデータポイントを収集し、プリンストン大学にあるサーバーに送る。収集されるデータには、DNSリクエストとレスポンス、送信先IPアドレスとポート、ハッシュ化されたMACアドレス、トラフィックの統計情報、TLSクライアントのハンドシェイク、デバイスの製造業者が含まれる。

このツールはスマート家電の研究を目的としているため、デフォルトではコンピュータやタブレット、スマートフォンを追跡しないように設計されている。利用者は、セットアップ中にデバイスの電源を落としたりデバイスのMACアドレスを指定したりして、個々のスマートデバイスを手動で追跡対象から取り除くこともできる。

IoT Inspectorが動作しているネットワーク上にあるスマートデバイスを、最大50台を追跡することができる。51台以上のデバイスを持っている人は、研究チームに連絡してこの制限を引き上げてもらうことができる。

プロジェクトチームは、アプリをMacにインストールする手順のビデオを作成して公開している。

[原文へ]

(翻訳:Kaori Koyama)