スマートライトの脆弱性、放っておくとパソコンまで乗っ取られる

  • 5,590

  • author Victoria Song - Gizmodo US
  • [原文]
  • 湯木進悟
スマートライトの脆弱性、放っておくとパソコンまで乗っ取られる
Photo: Andrew Liszewski(Gizmodo US)

なんか使うのをためらってしまいそう…。

スマート家電、使ってますか? Google(グーグル)やAmazon(アマゾン)のスマートスピーカーにはじまり、いまや家の玄関ロックから監視カメラ、照明、エアコンにいたるまで、あらゆるものがIoT機器としてネットワークにつながります。スマホでも簡単にコントロールできるようになりましたよね。

ただその便利さと引き換えに、いろいろ怖い事件なんかも起きているようです。

Video: Check Point Software Technologies, Ltd./YouTube

Check Point SoftwareのYouTubeチャンネルにアップロードされた動画では、PhilipsHueシリーズスマートバルブを使って、Zigbeeで通信するIoT機器が、どのように悪用されるのかをデモされました。

最初は感染したHueが、勝手に外部から操作されてしまうだけ。

ユーザーが変に思ってHueを削除、そして再度追加します。その瞬間、ZigBeeの脆弱性を用いて、スマートバルブのつながっているブリッジにマルウェアが展開されてしまいます。そして同じネットワーク内にあるパソコンまでもが操作されてしまうことに...。

今回悪用されたHueシリーズのスマートバルブの脆弱性は、実は以前から指摘されていたものでもあり、2016年にドローンからスマートバルブを一斉操作したり、2017年にマルウェアをスマートバルブからスマートバルブへと拡散できる危険が警告されていました。しかしながら、そのスマートバルブを通じて同じネットワークにつながったパソコンや他のデバイスにまで影響が及ぶことが実証されてしまいました。改めてこの脆弱性の危険度の高さが浮き彫りになった形です。

すでにCheck Point Softwareは、この問題について、昨年11月にPhilipsへ報告済み。これを受け、Philipsはセキュリティパッチを先月半ばにリリースしています。ファームウェアバージョンが1935144040にアップデートされると、同手法のハッキングはできなくなると発表されています。とはいえ、スマート家電についてはコンピュータほど定期的にアップデートを適用しないという人が多いので、被害の拡大も懸念されているみたいです。

なお、同じようにZigBeeで接続をするスマート家電としては、AmazonのAlexaやIKEA、Samsung(サムスン)など、大手ブランドのものも多いため、似たような脆弱性は存在しないのか不安に感じる人も多いことでしょう。常に最新バージョンのソフトウェアを使うことや、スマート家電用に別のネットワークを用意するなど、ユーザー側にも自衛の対策を講じることが必要になってくるかもしれません。

Source: Check Point Software via The Verge

    あわせて読みたい

    powered by