【5月17日 AFP】(訂正)11歳の少年が16日、ネット接続できるテディベアのおもちゃを操作するためにブルートゥース機器へのハッキングを実演し、セキュリティー専門家らの聴衆を仰天させた。狙いは、相互接続されたスマート玩具をどのように「武器化できる」かを示すことだ。

 米国の「神童」ルーベン・ポール(Reuben Paul)君は、米テキサス(Texas)州オースティン(Austin)の学校に通う小学5年生。彼と彼のテディベアのボブは、オランダ・ハーグ(Hague)で開かれたサイバーセキュリティーの世界フォーラムで数百人の聴衆を驚嘆させた。

「飛行機から自動車、スマートフォンからスマートホームまで、どんなものでも、あるいはどんな玩具でも、『モノのインターネット(Internet of ThingsIoT)』の一部となる」と壇上から語ったルーベン君。そして「ターミネーターからテディベアまで、どんなものでも、どんなおもちゃも武器化される恐れがある」ことを付け加えた。

 今回の実演のために用意されたテディベアは、WiFiとブルートゥースを通してクラウドサービス「iCloud(アイクラウド)」に接続し、メッセージを送受信することができる。

 ルーベン君は、実演で利用するブルートゥース機器を探すために、クレジットカード大の小型コンピューター「ラズベリー・パイ(Raspberry Pi)」を使い会場内をスキャンした。すると彼自身も含めて誰もが驚いたことに、一部高官のものを含む数十の番号がすぐに見つかった。

 次に、Python(パイソン)と呼ばれるプログラミング言語を使い、見つかった番号の一つを経由して壇上のテディベアを操作し、ぬいぐるみに付いているライトを点灯させたり、聴衆からのメッセージを録音したりしてみせた。

 ルーベン君は、講演後に行われたAFPの取材に「インターネットに接続されるものの大半には、ブルートゥース機能が備わっている。今回の実演では、音声を録音したりライトをつけたりすることによって、どのようにしてブルートゥース機器に接続し、それにコマンドを送信できるかを示した」と語った。「IoT家電など日常生活で使用できるもの、自家用車、照明、冷蔵庫など接続機能を持つこの種のあらゆるものは、人々に対してスパイをしたり害を及ぼしたりするために悪用され、武器化される可能性がある」

 パスワードなどの個人情報を盗み取るためや子どもの行動を密かに探るためのリモート監視機器として、あるいは個人がどこにいるかを調べるために全地球測位システム(GPS)を用いるためなどに、これらのIoT機器が悪用される可能性がある。

 ルーベン君は、さらに恐ろしいことに「この場所で僕と会おうよ。君を車で迎えに行くよ」とおもちゃがしゃべりだすかもしれないと冗談交じりに語った。