家電の遠隔操作機器に脆弱性、不正操作の恐れ

「Belkin WeMo」の脆弱性を悪用されれば、家電を攻撃者に遠隔操作されたり、悪質なファームウェアアップデートを仕込まれたりする恐れがあるという。

[鈴木聖子，ITmedia]

　外出先からスマートフォンを使ってWi-Fi経由で自宅の家電を操作できるホームオートメーション装置「Belkin WeMo」に複数の脆弱性が見つかった。攻撃者に家電を遠隔操作される恐れがあるとされ、セキュリティ企業のIOActiveや米US-CERTが2月18日にセキュリティ情報を公開して注意を呼び掛けている。

　IOActiveによると、脆弱性を悪用された場合、WeMoに接続された家電を攻撃者に遠隔操作されたり、悪質なファームウェアアップデートを仕込まれたりするほか、家庭内ネットワークにアクセスされる恐れがある。また、WeMoのモーションセンサーを使えば、家の中に人がいるかどうかまで監視できてしまうという。

Belkin WeMo

　影響を受けるユーザーは50万人を超えるとIOActiveは推計する。遠隔操作で家電の電源を入れられれば、電力の浪費に結びついたり、最悪の場合は火災を引き起こす恐れもあるほか、ネットワークに侵入されればPCや携帯電話などに攻撃が及ぶ恐れもある。

　原因の1つは暗号鍵とパスワードがファームウェアにハードコーディングされていることにある。攻撃者がこの暗号鍵とパスワードを使えば、自分の悪質なファームウェアに署名して、ファームウェアアップデートのセキュリティチェックをかわすことが可能になる。

IOActiveの注意喚起

　さらに、WeMoによるSSL証明書のチェックにも不備があり、Belkinのクラウドサービスを装った悪質なファームウェアアップデートのプッシュ配信が可能なほか、WeMoサーバのAPIにもXML挿入の脆弱性があるという。

　IOActiveはこの問題について何度もBelkinに接触を試みたが、Belkinから返答がなかったために情報の公開に踏み切ったと説明。ユーザーに対し、全ての家電のWeMoへの接続を解除するよう促している。

　ホームオートメーションなど「モノのインターネット」を巡っては、セキュリティ対策が手薄でPCよりも簡単に不正侵入されてしまう恐れがあるとして、リスクを指摘する声が高まっている。