Amazon Keyに新たな脆弱性が発見されました。デモ参加者は、悪意のある人物がAmazon Keyの近くにデバイスを設置し、配達員がロック解除した後に再ロックされないようにする方法を示す動画を公開しました。
一例として、誰かが Amazon Key の新たな脆弱性を明らかにしました。この脆弱性により、配達後に第三者が家に入ることができるとされています。Twitterで公開された動画では、その発生の様子がデモされています。まず、第三者はドア近くのランプに小型デバイスを隠します。配達員が荷物を降ろして立ち去った後、第三者が戻ってみるとドアはロックされていません。次に、デモンストレーターは、アプリでドアのロック解除がトリガーされると、アプリが「ロック解除中...」というステータスでループしている間に、ドアが物理的にロック解除されることを実演します。しばらくすると、ドアロックが音を発し、アプリはロック解除イベントがタイムアウトしたことを示すステータスを短時間点滅させます。ただし、ドアはロック解除されたままで、アプリはロック解除イベントを一切記録しません。
デモ参加者はAmazonが問題を修正するまで詳細を公表していないため、隠されたボックスの機能や脆弱性の性質に関する詳細は明らかにされていない。デモ参加者は、このテストに使用されたAmazon Keyは最新のソフトウェアを使用していると主張している。
このエクスプロイトで何が起こっているのか正確には分かりませんが、ロック解除のタイムアウトは、昨年末に公開された以前のエクスプロイトを彷彿とさせます。このエクスプロイトを発見したRhino Labsは、ロック解除後にAmazon KeyシステムにDDOS攻撃を仕掛けることで、再ロックを阻止し、カメラから送信される画像をフリーズさせることができると説明しています。Rhinoのシナリオでは、ドアが閉まった直後、ドアがロックされる直前にDDOS攻撃を実行する方法が示されていました。第三者が侵入し、カメラが閉じたドアを映し出している間にDDOS攻撃を終了させ、ドアをロックすることができます。繰り返しになりますが、これらのエクスプロイトに関連性があるとは断言できませんが、今回のエクスプロイトで使用されている隠しデバイスは、何らかのWi-Fi DDOS攻撃が関与していることを示唆しています。
サイバーセキュリティの動向に注目している人は、膨大な数のIoTデバイスのセキュリティが脆弱であることに対する業界の懸念が高まっていることに気づいているだろう。コネクテッドデバイス市場が成長しているのは、消費者が利便性を求めている一方で、必ずしも高額なプレミアムを支払う意思がないからだ。IoT市場の急成長と競争の激化により、企業は安価で使い捨ての製品を迅速にリリースせざるを得なくなり、それが手抜きを助長することになる。サイバー脅威が、発生確率の低い標的型攻撃の単発的な事例と見なされ続ける限り、メーカーにはセキュリティ投資のインセンティブが働かない。皮肉なことに、特定のIoT製品が普及すればするほど、その製品がメーカーにとって時限爆弾となる可能性が高くなる。これは、Miraiボットネットで既に目撃されていることだ。
最近では、IoT セキュリティに関する懸念が高まる中で、いくつかの前向きな進展も見られる。ARM は、将来の IoT デバイスのセキュリティを確保するための開発コストの削減を期待して、プラットフォーム セキュリティ アーキテクチャの開発を発表し、IoT セキュリティに重点を置いた業界コラボレーションがいくつか結成された。最終的にこの市場を席巻するのは、セキュリティをコストではなく資産と捉える企業だろう。Amazon のように開発資産を豊富に持つ企業の IoT 製品で脆弱性がこれほど急速に発見されるのであれば、リソースがほんの一部しかない企業の製品の見通しは明るくないのは明らかだ。今のところ、消費者は IoT デバイスで何を購入しようとしているのかを自覚する必要がある。IoT デバイスは生活を向上させる賢い方法を宣伝しているかもしれないが、それがもたらすリスクは無視している。
Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。
