「睡眠の質を改善したい」という動機でスマートスリープマスクを購入する方が増えています。ところが最近、あるセキュリティ研究者がスマートスリープマスクのリバースエンジニアリングを行ったところ、ユーザーの脳波データがオープンなMQTTブローカーに平文で送信されていたことが発覚しました。

この件はHacker Newsでも話題になっていて、IoTデバイスのプライバシー問題を改めて考えさせられる事例だと感じたので、詳しく調べてみました。

何が起きたのか:脳波データがインターネット上に公開状態

セキュリティ研究者のAimilios氏が、自身のブログでリバースエンジニアリングの結果を公開しています。問題のスリープマスクは、EEG(脳波計)センサーを搭載したウェアラブルデバイスで、睡眠ステージの判定やスマートアラームなどの機能を提供していました。

調査の結果、このデバイスは以下のような問題を抱えていたことがわかりました。

  • 認証なしのMQTTブローカー:脳波データの送信先であるMQTTブローカーにパスワードが設定されておらず、誰でもアクセス可能な状態でした
  • 暗号化なしの通信:TLS/SSL暗号化がされておらず、データが平文で流れていました
  • ユーザー識別情報の含有:送信データにデバイスのシリアルナンバーが含まれており、個人の特定につながる可能性がありました

つまり、睡眠中の脳波データが世界中の誰からでも見える状態になっていたということです。正直、かなり衝撃的ですよね。

MQTTプロトコルとは何か

MQTTは、IoTデバイス間の通信で広く使われている軽量なメッセージングプロトコルです。1999年にIBMが開発したもので、帯域幅が限られた環境でも効率的に動作するよう設計されています。

スマートホームの温度センサーや、工場の監視装置など、多くのIoTデバイスがMQTTを採用しています。プロトコル自体に問題があるわけではなく、今回の問題は実装側のセキュリティ設定が甘かったことに起因しています。

ただ、こうしたセキュリティ上の不備は珍しくありません。以前取り上げたChrome拡張機能のスパイウェア問題WiFiセンシングによる監視技術の話と根は同じで、便利さの裏側でプライバシーが犠牲になっている構図です。

脳波データはなぜセンシティブなのか

「脳波データが漏れたところで、何が困るの?」と思う方もいるかもしれません。実はこれ、想像以上にセンシティブな情報なんですよね。

脳波(EEG)データからは、以下のような情報が推測できることがわかっています。

  • 感情状態:ストレスレベル、リラックス度、集中度などの精神状態
  • 睡眠障害の有無:不眠症、睡眠時無呼吸症候群などの健康情報
  • 神経学的疾患のリスク:てんかんやパーキンソン病など、脳の疾患に関する手がかり
  • 認証情報:脳波パターンは個人に固有であり、生体認証として使える可能性がある

米国コロラド州では2024年にプライバシー法を改正し、脳波データを含む「ニューラルデータ」を保護対象に追加しています。法律が追いつき始めるほど、脳データのプライバシーは現実的な問題になってきているわけです。

IoTデバイス全般に共通するセキュリティの課題

今回のスリープマスクの事例は氷山の一角に過ぎません。IoTデバイスのセキュリティには、構造的な問題がいくつかあります。

  • 開発コストの圧力:ハードウェアスタートアップは限られた予算で製品を出す必要があり、セキュリティにかけるリソースが不足しがちです
  • ファームウェアの更新が困難:一度出荷されたデバイスのアップデートは技術的にもユーザー体験的にもハードルが高いです
  • セキュリティ監査の欠如:医療グレードでないウェアラブルデバイスは、顔認識技術のような規制対象と比べて審査が緩い状況があります
  • ユーザーの認知不足:購入者がデバイスのデータ送信先や暗号化の有無を確認する手段がほとんどありません

ユーザーが取れる対策

完全にリスクをゼロにすることは難しいですが、以下の対策である程度は自衛できます。

  • ネットワークの分離:IoTデバイスは専用のVLANやゲストWiFiに接続し、メインのネットワークと分けておくのが基本です
  • 通信のモニタリング:Wiresharkなどで、デバイスがどこにデータを送信しているか確認してみると、意外な発見があるかもしれません
  • プライバシーポリシーの確認:購入前にメーカーのプライバシーポリシーを読んで、データの収集・送信・保存方針を確認しましょう
  • オフラインで使えるものを選ぶ:睡眠トラッキングのようにリアルタイムのクラウド接続が不要な用途なら、オフラインで動作する製品を選ぶのが最も安全です

今後の規制と業界の動き

こうした問題を受けて、規制の動きも加速しています。EUではデジタルサービス規制の延長線上で、IoTデバイスのセキュリティ基準を義務化するサイバーレジリエンス法(CRA)が2027年の施行に向けて準備中です。

また、米国ではFCCがIoTデバイスのセキュリティラベリングプログラム「U.S. Cyber Trust Mark」を推進していて、消費者が安全な製品を識別しやすくなる仕組みが整いつつあります。

とはいえ、規制が追いつくまでの間は、ユーザー自身がリスクを認識して行動する必要がありそうです。

まとめ

スマートスリープマスクの脳波データ漏洩は、IoTデバイスのセキュリティが依然として脆弱であることを示す事例でした。便利なデバイスを使うこと自体は悪いことではありませんが、「自分のデータがどこに送られているのか」を意識することは大切だと感じます。

特に脳波のような生体データは、一度漏洩したらパスワードのように変更できません。IoTデバイスを購入する際は、機能だけでなくセキュリティ面も含めて判断することをおすすめします。