] 【Bitdefender海外ブログ】ベビーモニター「Mi-Cam」の深刻な脆弱性が53,000人のユーザーを危険にさらす | SECURIE(セキュリエ)-BEST SECURITY FOR EVERYONE-

事例Use case

【Bitdefender海外ブログ】ベビーモニター「Mi-Cam」の深刻な脆弱性が53,000人のユーザーを危険にさらす

2019.1.28

ツイート シェア 送る はてブ

critical-vulnerabilities-mi-cam-baby-monitors-expose-53000-victims2.jpg

赤ちゃん見守りカメラにのぞき見の原因になる大問題のバグを発見

中国のQiWo社製ベビーモニター「Mi-Cam」で発見された一連の深刻な脆弱性により、世界中いたるところにある52,000台以上のカメラに遠隔で接続でき、ユーザーや子供たちが覗き見されている可能性があります。

発見された脆弱性は、不審なAPI呼び出し、パスワード変更認証コード、シリアルインターフェースの露呈、ハードコーディングされたデフォルトの認証情報、ユーザーアカウントのインクリメンタル列挙、旧式のファームウェアなど、計6件となります。しかし、SEC Consultの研究者は、これらの脆弱性について報告するために、このスマートデバイスの開発者への接触を試みましたが成功しませんでした。

報告書によると、「クラウドAPIやGoogle Playストアデータから抽出したユーザーIDを確認した結果、合計52,000人以上のユーザーアカウントとビデオベビーモニターが影響を受けている可能性があります(ユーザーアカウント1件にビデオベビーモニター1台とします)。さらに、ベンダーにも中国のCNCERT/CCにも接触することができず、これらの脆弱性について正式な公開手続きを行うことができません。」

追加調査の結果、これらの脆弱性は、似たようなベビーモニターを提供している別のベンダーにも影響している可能性があります。発見されたのは、どれもコンパニオンアプリ、デバイスそのもの、AndroidやiOSアプリケーションがアクセスするクラウドインフラ間の通信チェックに関わる脆弱性であるため、脆弱なデバイスの数は予想よりも遥かに多いことが予想されます。

該当製品はすでに生産終了。メーカーはアップデートするのか?

Forbesによると、QiWoのスポークスマンは、現在、この問題を調査中で、アップデートを促す責任は確かにQiWoにあるものの、該当のデバイスは既に製造中止されていると述べています。

保護者や子供たちの家での行動がサイバー犯罪者に観察されている可能性があるとすれば、これらの脆弱性はセキュリティやプライバシーを大きく脅かす問題です。正式なパッチはリリースされておらず、その予定もないため、この脆弱なベビーモニターを所有しているユーザーは、現在も危険にさらされたままです。

翻訳元記事:Critical Vulnerabilities in Mi-Cam Baby Monitors Could Expose 53,000 Victims

ネットワーク防犯カメラなどスマート家電を安全に使用するためのヒント

1.リサーチを行う
知名度が高いブランドを選んでください。セキュリティに対してより真剣に取り組んでいます。

2.初期パスワードを変更する
多くのスマート家電には、メーカーが初期パスワードを設定しています。このパスワードを変更しないまま放置しておくと、不正侵入の原因となるため、必ず変更するようにしてください。パスワードは8文字以上で作成し、大文字・小文字・数字・特殊文字を使用すると強度が高くなります。

3.セキュリティ更新や修正情報を確認する
メーカーが発表している最新のセキュリティパッチ情報を常に確認し、OSやファームウェアを最新に保つようにしてください。または脆弱性診断ツールを使用して、自動的にこれらの情報を確認できるようにすると便利です。

4.スマート家電専用のWi-Fiネットワークを作る
スマート家電用にもう1台ルーターを用意し、個人情報など重要な情報を保存しているPC等と、スマート家電のWi-Fiネットワークを分けておきます。この方法により、万が一スマート家電がハッキングされた場合でも、個人情報に侵入される心配はありません。多くのルーターは、ゲストネットワークを設定できるようになっていますので、この機能も活用しましょう。

5.専用のソリューションを導入する
SECURIE powered by Bitdefenderは、スマート家電、PC、タブレット、スマートフォンなどをまとめて保護します。弱いパスワードなどのデバイスの脆弱性を自動的にスキャンする脆弱性診断や、普段の動きを把握し、異なる通信をした場合に検知する異常検知、攻撃の侵入検知など、ホームネットワークを侵入から防ぐ機能が搭載されています。さらに、高性能セキュリティソフトが台数無制限でご利用いただけますので、外出中でもモバイルデバイスを守ることができます。

securie_service.PNG