事例Use case

【Bitdefender海外ブログ】ペット用自動給餌器の脆弱性が原因で食事が乗っ取られる

2020.2. 6

ツイート シェア 送る はてブ

712eea16-8df6-408a-8f71-faa459adc080.jpg

認証なしでペットフィーダーの不正操作が可能

ペットの自動給餌器(ペットフィーダー)が自宅に危険を及ぼすことを想像できますか?多くのIoTデバイスと同じく、ローカルネットワークに脆弱性があったり、セキュリティ対策が不十分であれば、犯罪者は容易に侵入できてしまいます。

飼い主が外出中にドッグフードやキャットフードを少量ずつあげられるようにアプリから操作できるシャオミ(Xiaomi)製のペット給餌器「FurryTail」も、安全とは言えません。バックエンドAPIの脆弱性が原因で、第三者が認証なしにアクセスし、ペットに食事を与えることができるのです。

今月、ロシアのサンクトペテルブルクでセキュリティ調査員をしているAnna Prosvetova氏は、世界中で販売されているFurryTailに一回でアクセスできてしまうことを発見しました。SNSを通じて発表されましたが、すでにシャオミに脆弱性を警告し、修正を待っている段階であったため詳細は明らかにされませんでした。

Prosvetova氏は、「アリエクスプレスでFurryTail(販売価格80ドル強)を購入し、設定している際にAPI経由で世界中のFurryTailを見れることに気づきました。1万950台に上る世界中のFurryTailに不正侵入し、あらかじめ設定された食事時間をなんの確認も求められることなく変更することもできたのです。」とコメントしています。

DDos攻撃へ悪用される可能性も

さらに彼女はSNSで、FurryTailがWi-Fi接続用にESP8266のチップセットを使用していることを明らかにしています。この部品にはハッカーが悪用して自動給餌器をIoTのDDoSボットネットに組み込むことができる脆弱性があります。ハッカーは自動給餌器にアクセスし、カスタムファームウェアバージョン(新しい機能を搭載したり隠された機能をロック解除するために、非公式に改造されたファームウェア)でアップデートするかもしれません。大規模な攻撃に向け、すべてが自動化されてしまいます。

ZDNetの報道によると、Prosvetova氏はシャオミへ脆弱性について報告後、同社から修正するとの回答をもらっています。なお、シャオミは脆弱性報酬プログラムを設けていないため、バグを報告したことに対する報奨金を支払うつもりはないとコメントしています。彼女はペットの飼い主から感謝されることで満足するしかないのかもしれません。

翻訳元記事 Vulnerability in Some Smart Pet Feeders Lets Others Control Your Pet's Diet


★SECURIEなら
自宅のIoT機器のセキュリティ状態が一目でわかる!アプリで簡単診断!
【製品レビュー】自宅のスマート家電のセキュリティ状態が一目でわかる「SECURIE(セキュリエ) powered by Bitdefender」



ネットにつながるあらゆるモノがサイバー攻撃の標的に。ペットカメラが乗っ取られて家庭の中が丸見えに?


ネットにつながるスマート家電やIoT機器は、便利な反面、セキュリティ対策ソフトがなく、犯罪グループの新たなハッキングの標的となっています。子供やペットの見守り用にウェブカメラを設置していませんか?セキュリティ対策が十分ではないウェブカメラが悪用され、カメラが勝手に操作される被害が報告されています。

NHKスペシャル あなたの家電が狙われている ~インターネットの新たな脅威~

見守りカメラ、ペットフィーダーなどスマート家電を安全に使用するためのヒント

1.リサーチを行う
知名度が高いブランドを選んでください。セキュリティに対してより真剣に取り組んでいます。

2.初期パスワードを変更する
多くのスマート家電には、メーカーが初期パスワードを設定しています。このパスワードを変更しないまま放置しておくと、不正侵入の原因となるため、必ず変更するようにしてください。パスワードは8文字以上で作成し、大文字・小文字・数字・特殊文字を使用すると強度が高くなります。

3.セキュリティ更新や修正情報を確認する
メーカーが発表している最新のセキュリティパッチ情報を常に確認し、OSやファームウェアを最新に保つようにしてください。または脆弱性診断ツールを使用して、自動的にこれらの情報を確認できるようにすると便利です。

4.スマート家電専用のWi-Fiネットワークを作る
スマート家電用にもう1台ルーターを用意し、個人情報など重要な情報を保存しているPC等と、スマート家電のWi-Fiネットワークを分けておきます。この方法により、万が一スマート家電がハッキングされた場合でも、個人情報に侵入される心配はありません。多くのルーターは、ゲストネットワークを設定できるようになっていますので、この機能も活用しましょう。

5.専用のソリューションを導入する
SECURIE powered by Bitdefenderは、スマート家電、PC、タブレット、スマートフォンなどをまとめて保護します。弱いパスワードなどのデバイスの脆弱性を自動的にスキャンする脆弱性診断や、普段の動きを把握し、異なる通信をした場合に検知する異常検知、攻撃の侵入検知など、ホームネットワークを侵入から防ぐ機能が搭載されています。さらに、高性能セキュリティソフトが台数無制限でご利用いただけますので、外出中でもモバイルデバイスを守ることができます。

SECURIE_200206.PNG