事例Use case

【Bitdefender海外ブログ】Zipato社製スマートハブに存在する重大なセキュリティ脆弱性を悪用し、ハッカーがユーザーの家に侵入

2019.11. 6

ツイート シェア 送る はてブ

knocker-2163643_1280.jpg

スマートホーム管理ツールの脆弱性を利用すれば家に不法侵入が可能

Zipato社のスマートハブで見つかった、重大な脆弱性1つを含む計3つのセキュリティ脆弱性をハッカーが組み合わせると、玄関のスマートロックを簡単に解錠し、ユーザーの家に不法侵入することが可能であるとTechCrunchの記事は伝えています。

Black Marbleのセキュリティ調査員Chase Dardaman氏とJason Wheeler氏は、「うち2つの脆弱性は、Zipatoアプリケーションプログラミングインターフェイス(API)における認証メカニズムの設計および実装に関するものです」 「もう一つの脆弱性は、ルート用の組み込みSSH秘密鍵にあります。この秘密鍵が一意でないため、抽出される恐れがあります」と述べています。

スマートハブと同じWi-Fiネットワークを使用するハッカーが、このセキュリティ脆弱性を悪用する可能性があります。詳細な技術的情報については、Black Marbleの記事を参照してください。

これら脆弱性が検出されたのは3月でしたが、Dardaman氏とWheeler氏はZipatoに対し問題を修正する機会を与えたいと思いました。Zipatoは、ハッカーの侵害を受ける可能性があるとの報告を受けると、直ちに脆弱性を修正し問題の見つかったZipaMicroハブ機器の販売を中止しました。

ウェブサイトによると、Zipatoは「盗難、火災、洪水、一酸化炭素中毒などの望ましくない事象」からスマートホームを保護するために設計された制御・自動化プラットフォームを開発しているクロアチアの会社です。また、全世界の2万世帯で11万2,000台の自社機器が使用されているようですが、脆弱性の影響を受けるハブの台数は公表されていません。

先日ZDNetは、スマートホーム管理プラットフォームの中国人開発者によって、ユーザー情報やパスワードを含む数十億もの登録内容がセキュリティの保護されていないElasticSearchサーバー経由で公開されたと報じました。それから間もなくの今回のZipatoハブに関するニュースということもあり、スマートホームテクノロジーはセキュリティの面で必ずしも安全であるとはいえないかもしれません。

翻訳元記事:Critical Security Flaws in Zipato Smart Hub Let Hackers Walk into Your Home


SECURIEでスマート家電やIoT機器を保護

SECURIE (セキュリエ)powered by Bitdefenderはご家庭のwi-fiネットワーク全体を保護する、ホームネットワークセキュリティです。パソコン、スマートフォン、タブレットだけでなく、インターネットに接続するテレビ、スマートスピーカー、ゲーム機、デジタルビデオレコーダーなどを含む、全てのネット接続機器をサイバー攻撃の危険から保護します。

1.Bitdefender Centralアプリ
Bitdefender BOXの設定・管理はBitdefender Centralアプリで行います。TOPのアクティビティ画面では、保護されたトラフィック量が1時間ごとに表示されます。

Top.PNG

2. デバイス検知・デバイス管理
家庭のネットワークに新しいデバイスが接続すると、BOXがそれを検知してBitdefender Centralアプリに通知します。管理者はそのデバイスの接続を許可するかどうか、またファミリー・ゲストに振り分けるなどのアクションを取ることができます。接続されているすべてのデバイスの保護状態を可視化し、一元管理できるので安心です。

デバイス.PNG

3.脆弱性診断
指定したデバイスに対して、ネットワークセキュリティ上の欠陥がないか、スキャンを行うことができます。たとえばユーザー名・パスワードの組み合わせが弱いものになっている、ファームウェアのバージョンが古い、CVE脆弱性がある、などです。これらの脆弱性が見つかった場合、Centralアプリに通知が届き、対処方法などをユーザーに知らせてくれます。

脆弱性レポート.png