スマートロック「Amazon Key」に不正侵入の恐れ

　Amazonが米国で販売するスマートロック「Amazon Key」について、玄関を監視するネットワークカメラをフリーズさせ、その間に配達員が窃盗を行なう可能性が指摘されていることを米誌WIREDは11日(現地時間)づけで報じている。もっとも、ロック自体が攻撃されるわけではないため、解錠には正規の配達員としての認証が必要となる。

　Amazon Keyはユーザーが認証した訪問者や、指定された配達員が解錠できるスマートロックで、不在時でも玄関先に荷物が配達されるサービスの開始のため2017年10月より米国内の一部で提供が始まった("Amazon配達員が解錠できるスマートロック「Amazon Key」発売")。

　セキュリティとしては身元確認のされた配達員が配達にあたり、配達員であってもAmazon側のクラウドで認証されなければ、指定された時間、指定された住所の鍵しか解錠されないしくみになっている。また、ネットワークカメラが付属しており、ユーザーが配達の瞬間をスマートフォンアプリで確認できるということなのだが、今回指摘されたリスクはこのネットワークカメラに対するDoS(サービス妨害)攻撃とのことだ。

　特定の方法でネットワークカメラの作動を妨害すると、アプリ側の映像はフリーズすることが判明している。そのため、通常の配達が終わり、ドアがロックされる寸前にこの攻撃を行ない、アプリに映ることなく住居に進入できるというのだ。特殊な機材も不要で、簡易なプログラムが実行できるデバイスと、ターゲットのワイヤレス接続の範囲内にいることのみが必要な条件という。

　監視カメラの映像をフリーズさせるという、フィクションのようなこの攻撃手法だが、悪いことにアプリで表示されるロック状態のログも不審にならない。この攻撃が行なわれると、少なくともアプリ側からは侵入の事実を知るすべがないという事態が発生してしまうようだ。

　しかし、繰り返しになるが一連の攻撃には錠前そのものに対しての攻撃は含まないため、ロックそのものがハックされて自由に出入りできるようになるわけではない。また、同誌の取材によると、Amazonは一定以上の時間カメラがオフラインになった際、異常をユーザーに通知するなどのアップデートを計画しているという。