ITmedia NEWS > セキュリティ >
ニュース
» 2018年08月28日 11時00分 公開

知らないうちに外国にデータ送信……監視カメラやスマートウォッチに潜むリスク (1/3)

スマートウォッチや監視カメラの中には、本来IoT機器を簡単に接続するために作られたプロトコルを悪用し、一種の「隠しチャネル」を通じて、外国と何らかの通信を行っているものがある――。ハッキングカンファレンス「DEF CON 26」のセッションで、そんな指摘が出た。

[高橋睦美,ITmedia]

 自動車にドローン、電子投票システムの投票機、現金を引き出すATM、あるいはPOSシステム……米国で毎年開催されているハッキングカンファレンス「DEF CON」ではありとあらゆるモノが「ハック」の対象になってきました。今年8月に開催された「DEF CON 26」も同様に、クルマや制御システムなどさまざまな「モノ」のハッキングを競うコンテストが開催された他、警察官が装備するボディーカメラ、市販のスマートスピーカー、スマートウォッチなどの脆弱性を指摘するセッションも行われました。

photo 802 SecureのCSO(情報セキュリティ最高責任者)を務めるマイク・ラゴ氏(右)と、Python Forensicsのチェット・ホスマー氏(左)

 このうち「Packet Hacking Village」で行われた「IoT Data Exfiltration」(意訳すれば「出血のように止まらないIoTからのデータ漏えい」)というセッションでは、セキュリティ製品を提供する802 Secureのマイク・ラゴCSO(情報セキュリティ最高責任者)と、Python Forensicsのチェット・ホスマー氏が、過去2年間、さまざまなIoTデバイスを調査してきた結果を紹介しました。

 両氏は「Apple Watch」、Andoridを搭載した「Moto 360」、Tizen OSを搭載したSamsungの「Galaxy Gear 2 Neo」、それにOkkuoの「U8 Nucleus」という4種類のスマートウォッチをテストしました。その結果、Galaxy Gear 2 Neoでは、リモートから権限昇格が可能な脆弱性が見つかりました。この問題はSamsung側に通知し、既に修正されているということです。

photo 両氏らが4種類のスマートウォッチを検証したところ、いくつか問題が見つかった

 もっと深刻な問題があったのはU8 Nucleusで、中国のランダムなIPアドレスに対し、暗号化されたチャネル経由でデータが送信されていることが分かりました。このようにスマートウォッチや監視カメラの中には、本来IoT機器を簡単に接続するために作られたプロトコルを悪用し、一種の「隠しチャネル」を通じて、外国と何らかの通信を行っているものがあるといいます。

       1|2|3 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.