外出先からスマートフォンを使ってWi-Fi経由で自宅の家電を操作できるホームオートメーション装置「Belkin WeMo」に複数の脆弱性が見つかった。攻撃者に家電を遠隔操作される恐れがあるとされ、セキュリティ企業のIOActiveや米US-CERTが2月18日にセキュリティ情報を公開して注意を呼び掛けている。
IOActiveによると、脆弱性を悪用された場合、WeMoに接続された家電を攻撃者に遠隔操作されたり、悪質なファームウェアアップデートを仕込まれたりするほか、家庭内ネットワークにアクセスされる恐れがある。また、WeMoのモーションセンサーを使えば、家の中に人がいるかどうかまで監視できてしまうという。
Belkin WeMo影響を受けるユーザーは50万人を超えるとIOActiveは推計する。遠隔操作で家電の電源を入れられれば、電力の浪費に結びついたり、最悪の場合は火災を引き起こす恐れもあるほか、ネットワークに侵入されればPCや携帯電話などに攻撃が及ぶ恐れもある。
原因の1つは暗号鍵とパスワードがファームウェアにハードコーディングされていることにある。攻撃者がこの暗号鍵とパスワードを使えば、自分の悪質なファームウェアに署名して、ファームウェアアップデートのセキュリティチェックをかわすことが可能になる。
さらに、WeMoによるSSL証明書のチェックにも不備があり、Belkinのクラウドサービスを装った悪質なファームウェアアップデートのプッシュ配信が可能なほか、WeMoサーバのAPIにもXML挿入の脆弱性があるという。
IOActiveはこの問題について何度もBelkinに接触を試みたが、Belkinから返答がなかったために情報の公開に踏み切ったと説明。ユーザーに対し、全ての家電のWeMoへの接続を解除するよう促している。
ホームオートメーションなど「モノのインターネット」を巡っては、セキュリティ対策が手薄でPCよりも簡単に不正侵入されてしまう恐れがあるとして、リスクを指摘する声が高まっている。
関連記事
- 冷蔵庫が迷惑メールを発信? 「モノのインターネット・IoT」のセキュリティ不安が現実に
- 家庭やSOHO向けルータの多数に深刻なセキュリティ問題、米国企業が指摘
- 家電もマルウェアに感染する時代——脅威の今を探る
- Samsungのスマートテレビに遠隔操作を許す脆弱性の情報
関連リンク
Copyright© 2014 ITmedia, Inc. All Rights Reserved.