Philips製スマートライト「Hue」経由で不正アクセスに成功 IoTデバイスの闇とは

「電球のように一見平凡で単純なデバイスもネットワークの制御やマルウェアを仕込むなどの目的で悪用できる」とCheck Pointは解説する。

[鈴木聖子，ITmedia]

　セキュリティ企業Check Point Software Technologiesは2020年2月5日、スマートライトの脆弱（ぜいじゃく）性を突き、コントローラーを介して企業や家庭のネットワークにランサムウェアなどのマルウェアを仕込む実証について発表した。

スマートライト「Hue」（出典：Philips）

　Check PointはIoT（Internet of Things）のネットワークを悪用した攻撃の脅威を報じる目的で、Philipsが提供するスマートライト「Hue」に着目。既知の脆弱性（CVE-2020-6007）を悪用して短距離無線通信技術のZigBee経由で不正アクセスしたライトから、ネットワークに侵入した。

　ZigBeeでコントロールするスマート照明のセキュリティ問題については、2017年に発表された論文で、Hueを制御して不正なファームウェアをインストールし、周辺のライトのネットワークに増殖させる方法が指摘されていた。今回Check Pointはこの問題にさらに踏み込み、Hueを利用してライトのコントロールブリッジを乗っ取り、標的とするコンピュータネットワークを攻撃したとしている。

危険なデバイスを接続させてネットワーク経由で標的のコンピュータを攻撃、具体的な手口とは？