リムーバブルメディアの恐怖

昨日の投稿で次のように書いた。

Eye-Fiカードを用いたイメージデータの盗用

今まではEye-FiカードとEye-Fi Manager、そしてEye-Fiサイトにおけるセキュリティ上の問題を説明したが、最後に指摘するのは、Eye-Fiカード自身が悪意のあるツールに成り得るという点だ。

Eye-Fiカードは自分のために用いることを想定しているが、これを配偶者、パートナー、社員などのデジタルカメラのSDメモリとして用いたらどうなるだろう。一般のデジタルカメラ使用者ならば、挿入されているSDメモリカードには注意を払わない。Eye-Fiカードのラベルは読めば、ワイヤレスLAN対応であることがわかるが、気づく人は多くはないだろう。もしくはラベルを替えてしまえば済む話だ。適切に設定をした後に、イメージデータを盗み見したいターゲットのデジタルカメラのSDメモリカードEye-Fiカードに替えてしまえば、彼や彼女のイメージデータは覗き見放題だ。

これは技術的な問題ではないが、ソーシャルセキュリティ的な課題としてきちんと認識しておく必要がある。

これって、良く考えてみると、結構怖い。友人*1から「SDカード使わなくなったからあげるよ」と言われ、使い始めたSDカードがEye-Fi Shareで、公衆無線LANなどから自動的にあるサイトに撮る写真が次から次へとアップロードされていたとしたら。

Eye-Fi Shareはそのような目的のものではないので、多少使いにくいが、もし悪用するために作られた無線LAN機能付きSDカードだったら、電源が入っているときには、常にアクセスフリーな無線LANアクセスポイントを検出を試み、インターネットに接続できるようになったら、あらかじめ設定されたサイトに写真をアップロードすることもできるはずだ。

マイクロSDカードだったら、もっと効果的だ。

USBメモリは価格も安くなったし、ちょっとしたギフトに使われることもある。企業のノベルティグッズとしても人気だ。このUSBメモリに同じ機能をつけたらどうだろう。USBメモリの場合は、写真よりももっとバラエティに富んだデータが取得できる。そのままP2Pファイル共有ネットワークに放流してもおもしろいだろう。

なんでこんなことを考えているかというと、このようなリムーバブルメディアは容量が大きいため、大容量もしくは大量のデータが保存される傾向にあり、いきおい重要なデータが保存されやすい。リムーバブルメディア経由でウィルスに感染し、重要なデータが被害を受けたりすることが多いのは周知の通りだ。さらには小型デバイス/メディアであることから、ディスプレイなどの出力装置を保持していないため、見えないところで何をされていてもわからない。

「無線+(ディスプレイを持たない)小型メディア」というのは悪意を持って作ることができれば、かなりのことができそうだ。USBメモリWiFi Finderというのはすでにあるようだし。

*1:同僚でも、上司でも、配偶者でもなんでも良い