8社のワイヤレスキーボードに「KeySniffer」脆弱性、入力内容が筒抜けに

大手を含む8社の低価格ワイヤレスキーボードに、入力した内容を攻撃者が全て平文で傍受できてしまう脆弱性が見つかった。

» 2016年07月27日 07時30分 公開
[鈴木聖子ITmedia]

 モノのインターネット(IoT)のセキュリティ対策を手掛ける新興企業Bastilleは7月26日、大手メーカーの低価格なワイヤレスキーボードに、入力した内容を攻撃者が全て平文で傍受できてしまう脆弱性が見つかったと発表した。

 Bastilleはこの脆弱性を「KeySniffer」と命名。メーカー12社のキーボードをテストした結果、Hewlett-Packard(HP)や東芝などを含む8社のキーボードにこの脆弱性が見つかったとしている。影響を受ける製品の一覧も公開した。

脆弱性が存在するとされるメーカーの製品(Bastilleより)

 攻撃者がこの問題を悪用すれば、キーボードに入力された内容を最大で70メートルほど離れた距離から平文で傍受できてしまうという。クレジットカード番号や銀行口座のユーザー名とパスワード、ネットワークアクセス用のパスワード、社外秘文書に入力した内容やメールの内容なども盗まれる恐れがあるとBastilleは警告する。

 同社によると、KeySnifferの脆弱性は、通信が一切暗号化されない低価格ワイヤレスキーボードをメーカーが製造・販売していることに起因する。これに対して、Bluetoothを使ったキーボードや、Logitech、Dell、Lenovo製のハイエンドキーボードはこの問題の影響を受けないという。

 脆弱性のあるキーボードのメーカーにはBastilleから通知したものの、ほとんどのキーボードはアップグレードが不可能で、入れ替えが必要になる見通し。安全のためには有線またはBluetoothキーボードを使った方がいいと同社はアドバイスしている。

脆弱性を利用するデモ映像も(同)

Copyright © ITmedia, Inc. All Rights Reserved.