中古のAmazon Echoを調べたら、そもそもみんな個人情報を消してなかったし、リセットしても個人情報を復元できてしまった

中古品を売る、譲渡する時には改めて気をつけましょう。

Amazon Echo等のIoTデバイスは、一般家庭にも普及し、新しいデバイスもどんどん登場するので、使わなくなった中古デバイスをメルカリ等でリセールするのは当たり前になってきました。アマゾンは製品の利用後、個人情報の消去のためにデバイスを工場出荷時状態までリセットしてから、他者への販売や譲渡することを推奨しています。

しかしデバイスを単純にリセットしただけでは、そのデータがこの世界から抹消されるわけではありません。その端末を再販することで、その古い個人情報が蘇ってしまう可能性も仮説上あり得るのです。

中古のAmazon Echo Dotを分析してみた

ノースイースタン大学の研究者は、16ヵ月間、中古で購入した｢Amazon Echo Dot｣86台のリバースエンジニアリングを行ない、セキュリティ上の欠陥を解明しようと試みた研究結果を発表しました。

研究チームは、eBayやフリマなどで入手した中古デバイスを分解、部品を整理し、仕組みの理解から進めていきました。

最初に明らかになったことはおそらく最も意外なものでした。Amazon Echoをリセールしたユーザーのほとんどは、デバイスを工場出荷時状態まで戻していなかったのです。そのため、古いデータの大半がデバイスに残っていて、研究者たちは、元の所有者の無線LAN情報、Amazonアカウントの認証情報、ルーターのMACアドレスなどに簡単にアクセスすることができたそうです。

そして、工場出荷時状態までリセットされたデバイスも、完全に情報がリセットされているわけではないことが研究によって明らかになりました。アマゾンの言説とは逆で、工場出荷時状態にリセットされたデバイスに残る多くの重要な個人情報は、実際に復元できたとのこと。これは、デバイスがNANDフラッシュメモリ（あるプロセスにより、デバイスをリセットしても実際にはデータが削除されない記憶媒体）を使用して情報を保存していることに起因しています。

しかしこのようにデバイスの個人情報を抜き取るには、それなりの知識が必要であることは言うまでもありません。研究者自身がデバイス全体を分解した上で、フラッシュメモリのはんだを除去し、そして別のデバイスを使ってフラッシュメモリの中身を取り出す…というところまで行なっています。研究論文によると、慣れれば20-30分でこの作業は完了するそうですが。

IoTデバイスを手放す際はよく考えたほうがいい

この件に関して、米Gizmodoがアマゾンにコメントを求めたところ、アマゾンは以下の声明を出しました。

そうですか。

スキルがあるセキュリティ専門家が、古いAmazon Echoから個人情報をジャックする可能性は低いと思いますが、大規模ネットワークに侵入するためのファーストステップとして、個人をターゲットにすることはよくある手法です。

今すぐ自分の個人情報が盗まれる可能性は低いにせよ、ユーザーの個人情報を記録するこういったIoTデバイスは、必ずしも堅牢な金庫のようなセキュリティレベルではないことが示された一例となりました。

Amazon Echoに限らず、古いデバイスを譲渡したり販売する場合は、入念にアカウント登録を解除した上で工場出荷時状態まで戻すように気をつけましょう。どうしても心配なら、デバイスをハンマーで破壊してから廃棄しましょう。