10億台超のIoT機器に搭載の「ESP32」に悪用可能な隠し機能発見
10億台以上のスマート家電や産業機器に組み込まれている中国製MCU「ESP32」に悪用可能な隠し機能を発見したと、セキュリティ企業のTarlogic Securityが発表した。意図的に仕込まれたものかどうかは不明だが、悪用すればスマートロック解錠や医療機器の誤作動などが起こり得る。
スペインのセキュリティ企業Tarlogic Securityは3月6日(現地時間)、中国Espressif Systems製のMCU(マイクロコントローラ)「ESP32」にバックドア(後に「隠し機能」に訂正)を発見したと発表した。
【UPDATE】同社は9日、発表文で、「ESP32 コントローラーのメモリの読み取りや変更などの操作を可能にする独自の HCI コマンドの存在は、『バックドア』ではなく「隠し機能』と呼ぶ方が適切であることを明確にしたいと思います」と修正したため、この記事も修正します。
ESP32は、Wi-FiとBluetoothの接続機能を備えるMCU。低コストなため、多くのスマートデバイス、家電製品、産業機器などに搭載されている。Espressif Systemsによると、2023年には全世界で10億個以上のESP32が出荷されたという。
Tarlogic Securityが発見した隠し機能は、メーカーが公には文書化していない隠されたコマンドを利用するもの。この隠し機能が意図的に仕込まれたものかどうかは不明だが、これを悪用すれば、個人情報や機密情報の窃取、スマートロックの不正解錠、医療機器の誤作動、マルウェアの拡散によるIoT機器で構成されたボットネットの構築などが可能になる。
Tarlogic Securityは、この隠し機能に対処するため、Bluetoothセキュリティ監査手法「BSAM」と、セキュリティテストツール「BluetoothUSB」を開発した。
同社はまた、デバイスのファームウェアを最新の状態に保ってセキュリティパッチを適用することや、信頼できるメーカーからデバイスを購入することを勧めている。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
「電車内のあの人は今、何聞いてるのかなぁ……」――イヤフォンで聞いている音を1m先から盗聴する攻撃
中国の湖南大学などに所属する研究者らは、イヤフォン/ヘッドフォンで聞いている音を離れた場所から盗聴できる手法を提案した研究報告を発表した。
Wi-Fi機器の充電を急速に“ゼロ”にするサイバー攻撃 150m離れた場所からスマホや監視カメラを無効に
米スタンフォード大学、米UCLA、カナダのウォータールー大学に所属する研究者らは、Wi-Fi機器に偽のデータパケットを継続的に送信することで、その機器の充電を急速に低下させる攻撃を提案した研究報告を発表した。
ドローンで上空から家の中をサイバー攻撃 壁越しに屋内のWi-Fi対応全機器を追跡
カナダのUniversity of Waterlooと米University of Illinois Urbana-Champaignによる研究チームは、上空のドローンからWi-Fiを利用して壁越しに屋内を攻撃する手法を提案した研究報告を発表した。
スマートスピーカー開発キットが登場 小型開発モジュール「M5Stack」がベース
小型開発モジュール「M5Stack」シリーズとして、スマートスピーカー開発キット「ATOM Echo」が登場。マイクとスピーカー、無線通信をデフォルトで備えるため、プログラミング次第でスマートスピーカーのようにも使えるという。