• TOP
  • ニュース一覧
  • 日本にも流通するIoTデバイスで遠隔操作が可能な脆弱性を確認
2018/04/18

日本にも流通するIoTデバイスで遠隔操作が可能な脆弱性を確認

トレンドマイクロは4月16日、公式ブログで「日本にも流通するIoTデバイスで遠隔操作が可能な脆弱性を確認」と題する記事を公開しました。同社が2017年に行った調査の結果、複数のIoTデバイスについて、脆弱性を抱えたまま流通していたことが判明しました。

この調査は、さまざまな地域のAmazonで販売され広く利用されている複数デバイスを対象に、「遠隔でのコード実行」(RCE:Remote Code Execution)の可否を確認したもので、日本市場を含む全世界規模で行われました。その結果、Belkin製のネットワークカメラ(IPカメラ)やスマート電球、Buffalo製のルータ、D-Link製のベビーモニタ、Dahua製のネットワークカメラ等で、さまざまな脆弱性が発見されました。

Belkin製品で確認された脆弱性には、HTTP POSTリクエストを1回送信するだけでスタックオーバーフローを引き起こすものがありました。Buffalo製品には、2016年の「SOAP(TR-069)の脆弱性を突いたRCE攻撃」でボットネット構築のために利用された脆弱性に類似した脆弱性が残っていました。D-Link製品では、細工したUDPパケットにより、ルート権限での遠隔操作が可能でした。そしてDahua製品には、認証情報を忘れたユーザのためにパスワード復旧機能が組み込まれており、この機能を悪用することで乗っ取りが可能でした。
上述した D-Link と Dahua の事例では、利便性のために提供されている機能が同時にセキュリティによる防御を抑制する結果となっています。

これらの脆弱性を悪用することで、サイバー攻撃者は、デバイスの遠隔操作が最終的に可能です。最悪、デバイスが完全に乗っ取られ、物理的に損傷する可能性も考えられます。

不具合を確認後、トレンドマイクロでは研究コミュニティ「Zero Day Initiative(ZDI)」、「独立行政法人情報処理推進機構(IPA)」、製造業者へ報告しており、この報告をもとに各社が対処を行っています。

IoT に関連したセキュリティはユーザにとってだけの問題ではありません。製造業者も、ほとんどではないにしてもある程度の責任を負い、販売したデバイスに常に更新プログラムが適用され安全が保たれていることを確認するべきです。製造業者は IoT デバイスの実装において、信頼性、運用継続性およびデータの整合性を担保し、所有者以外には操作できないようにしてください。

デバイスがひとたびインターネットに接続されると、そこには悪用の可能性が伴うことを提供者、利用者双方がより一層留意していく必要があるでしょう。

おすすめの動画

IoTで広がる世界とそのセキュリティ

運営社情報

セキュリティブログ
is702
PageTop