ベビーモニタにはびこる脆弱性、録画映像の盗み見リスクも

Rapid7が6社のベビーモニタ7製品を調べた結果、全製品に合計10件の脆弱性が見つかった。こうしたIoTデバイスの脆弱性は、ビジネスにも影響を及ぼす恐れがあるという。

[鈴木聖子，ITmedia]

　IoT（モノのインターネット）デバイスのセキュリティ問題について検証しているセキュリティ企業のRapid7は9月2日、メーカー各社のベビーモニタを調べたところ、全製品から複数のセキュリティ問題が見つかったと報告した。

　Rapid7の報告書によると、今回の調査は6社のベビーモニタ7製品を対象に実施。その結果、計10件の脆弱性が確認されたという。うち5件はリモートで悪用可能とされる。

　例えばi、Baby Labs社の「iBaby M6」の脆弱性では同製品のカメラで撮影してインターネットサービスの「ibabycloud.com」に保存した映像が、他人に見られる恐れがある。

脆弱性が修正されたPhilipsの製品

　また、Philips Electronicsの「Philips In.Sight B120/37」には、パスワードがハードコードされた状態で出荷されている脆弱性、セッション乗っ取りの恐れがある脆弱性、リモートで閲覧する際の通信が保護されていない脆弱性が見つかった。

　この他に脆弱性が確認されたベビーモニタは、Baby Labsの「iBaby M3S」、Summer Infantの「Summer Baby Zoom WiFi Monitor & Internet Viewing System」、Lens Laboratoriesの「Lens Peek-a-View」、Gynoiiの「Gynoii」、TRENDnetの「TRENDnet WiFi Baby Cam TV-IP743SIC」となっている。

　Rapid7はメーカー各社やセキュリティ機関のCERT/CCにこの情報を提供し、PhilipsやGynoiiは9月2日までに脆弱性を確認して対応を表明したという。

Rapid7が報告したカメラ製品の脆弱性概要

　「ベビーモニタのようなIoTデバイスの脆弱性が及ぼす影響は、ビジネスにも及ぶ可能性がある」と同社は指摘する。今回見つかった脆弱性は「それなりのスキルがある攻撃者なら簡単に悪用できる」という。例えば、企業の幹部などが仕事にも使うネットワーク上でIoTデバイスを運用していた場合、「ベビーモニタなど比較的価値の低いターゲットを攻撃されれば、外部の組織ネットワークへの侵入経路を提供してしまいかねない」としている。

　多数の脆弱性が存在している実態について「ベビーモニタ業界に特有の現象ではなく、IoT全般にもっと大きな構造的問題があることを示唆するもの」と、同社は警鐘を鳴らしている。