Bitdefender、IoTカメラに重大な脆弱性を発見

ビットディフェンダーは、身元不明のメーカーのモノのインターネット（IoT）カメラに、所有者のプライバシーを脅かし、分散型サービス拒否（DDoS）攻撃を可能にする重大な脆弱性を発見したと発表した。

• デフォルトのパスワードを変更する必要がない
• ネットワーク認証情報をプレーンテキストで送信する
• カメラ、会社のサーバー、録画を見るためのアプリの間でデータがやり取りされる際、データは暗号化されません。

これらの欠陥は個別にも問題となるが、全体としては、人々が信頼するはずのデバイスのセキュリティを完全に確保できていないことを意味する。

Bitdefender社によると、カメラが他のデバイスとの接続を検証するためにMACアドレスを使用しているため、パスワードの問題はさらに複雑化しています。つまり、誰かが悪意のあるデバイスを設定し、カメラが信頼するMACアドレスを使用するだけで、特定の人物に関する情報を収集できる可能性があります。その人物はカメラのセキュリティ保護に使用されているパスワードをすべて知ることができるため、デフォルトのパスワードを変更するだけではハッカーの侵入を防ぐのに十分ではないということです。

Bitdefender はこの問題の潜在的な影響を次のように説明しています。

「このアプリは誰でも、ユーザーと同じように使えます」と、マルウェア対策研究者のジョージ・カボー氏は述べた。「つまり、音声、マイク、スピーカーをオンにして、親がいない時に子供とコミュニケーションを取ったり、子供部屋のリアルタイム映像に邪魔されることなくアクセスしたりできるということです。明らかに、これは極めて侵入性の高いデバイスであり、侵入されると恐ろしい結果を招く可能性があります。」

これらの脆弱性は、家庭外でも問題を引き起こします。Bitdefender社によると、誰かがHTTPリクエストを実行して別のNTPサーバーを設定することで、デバイスを騙してコマンドを実行させることが可能になるとのこと。カメラはサーバーを検証しないため、偽装サーバーを設定した者は誰でもコマンドを実行させることができます。これは、例えばデバイスをクラッシュさせたり、IoTを基盤としたボットネットに組み込んだりするのに利用される可能性があります。

IoTデバイスを基盤としたボットネットは、最近、東海岸と中西部で多くの人気ウェブサイトをダウンさせたDDoS攻撃に利用されました。これらの事件を受け、マーク・ワーナー上院議員（バージニア州民主党）はIoTデバイスのセキュリティ強化を求め、安全でないデバイスが回収される可能性への懸念が高まりました。本レポートは、これらのボットネットにデバイスを組み込むことがいかに容易であるか、そして多くのIoT企業が依然としてセキュリティを最優先事項としていないことを示しています。

Bitdefenderは調査対象となったデバイスのメーカーを明らかにしていません。しかし、同社はジャーナリストへのメールに、これらの問題の影響を受けるアプリのスクリーンショットを添付しており、画像検索の結果、AndroidとiOSの両方のデバイスで利用可能な「EdiView」というアプリから取得されたことが判明しました。EdiViewは、無線ルーターやスマートプラグなどの製品も製造している台湾のメーカー、Edimax製のIoTカメラにアクセスするために使用されています。

Edimaxは、これらの脆弱性が自社のカメラに影響を与えるかどうかの確認を求めるメールに返答していません。Bitdefenderの広報担当者は、Tom's Hardwareからの追加情報提供の要請に対し、以下のように回答しました。

Bitdefenderは、特定のブランドに直接的な損害を与えることを避けるため、特定のベンダー名を公表しない方針です。Bitdefenderは、IoTの脆弱性に関するより広範な問題への注意喚起を目指しています。多くの異なる製品やブランドに、ユーザーが攻撃の危険にさらされる可能性のある同様の脆弱性が存在する可能性があるためです。しかし、今回のケースでは、リリースに掲載された画像に関するGoogle画像検索が役立つ可能性があります。

同社は発表の中で、脆弱性が公表される前にメーカーに30日間の猶予を与えて修正させたと述べている。「問題は最新のファームウェアバージョン（2.02）でも依然として残っています」とBitdefenderは述べている。「しかし、メーカーは現在修正に取り組んでいます。」

ナサニエル・モットは、Tom's Hardware US のフリーランスのニュースおよび特集記事ライターであり、最新ニュース、セキュリティ、テクノロジー業界の最も面白い側面などを扱っています。