HISグループ『変なホテル』のロボットに脆弱性、“ハッカーが室内を覗き見できた”と判明

　旅行大手HISグループの「変なホテル」に滞在した米国人のサイバーセキュリティ専門家ランス・R・ヴィック氏が、客室ロボットに脆弱性があることを発見した。

　直接ホテルに連絡したが3カ月も回答がなく、10月11日にツイートされ公になると、HISは、即座に社内調査を行い、その事実を認め謝罪した。

　ヴィック氏はTwitterにて「日本の有名なロボットホテルに配置されているベッドに面したタピアロボットは、この先全てのゲストにリモートカメラ・マイクのアクセスをするように変換することが出来る。頭の後ろのNFC（近距離無線通信規格）を介した無署名コードでだ。90日間待ったが、業者は、気に留めなかった」と指摘している。

It has been a week, so I am dropping an 0day.

The bed facing Tapia robot deployed at the famous Robot Hotels in Japan can be converted to offer anyone remote camera/mic access to all future guests.

Unsigned code via NFC behind the head.

Vendor had 90 days. They didn't care. pic.twitter.com/m2z6yLbrzq

— Lance R. Vick (@lrvick) October 12, 2019

テクノロジー採用急ぐとプライバシー侵害の恐れ

　この指摘については、海外での反響も大きく、『Ubergizmo』は「ハッキングに対して脆弱性が判明した日本のホテルチェーンのロボットは、ゲストをスパイする可能性あり」という見出しで報じた（参考：https://www.ubergizmo.com/2019/10/robot-japanese-hotel-spy-on-guests/）。

　日本はロボットを活用した分野が多く、様々な業界で活躍している。たとえば、店舗での挨拶や空港周辺で乗客の道案内として使用されているのを目にすることもある。国内の一部のホテルチェーンがロボットを使用してゲストのチェックインをするのも見たことがある。

　ただし、テクノロジー採用を急ぐと、プライバシー侵害が発生する可能性がある。

　ヴィック氏によると、これは明らかに、ロボットの背面にあるNFCを介した無署名コードによるものだ。誰でもタップして、好みのストリーミングアプリを介してアクセスできるため、ハッカーは眠っている間に部屋でゲストを覗き見ることができる。ヴィック氏は、ホテルチェーンに連絡をとったが、何も返事がなかったため90日後、調査結果をオンラインで公開した。

　事実が公になったことで、HISは謝罪した。実際にゲストがスパイされたかは不明だが、それを確実に実行できる脆弱性があったことは間違いない。