スマートスピーカーが盗聴デバイスに変わる脆弱性
また。
また、NCCグループのセキュリティ研究者が。人気スマートスピーカーブランドSonosの製品に複数の深刻な脆弱性を発見した。この脆弱性を悪用されると。
さらに、攻撃者がリモートからスピーカーのマイクを乗っ取り。
つまり、ユーザーの会話を密かに録音できてしまう。
さらに。
そのため、発見者のアレックス・プラスケット氏とロバート・エレラ氏は「これらの脆弱性は。Sonosのセキュアブートプロセス全体におけるセキュリティの崩壊を引き起こし。
具体的には、複数のデバイスをワイヤレス経由でリモートから侵害できる状態だった」と報告している。
脆弱性の技術的な詳細
つまり。
たとえば、今回発見された問題は複数の脆弱性の組み合わせだ。まず。セキュアブートの検証プロセスに不備があった。本来。
なお、ファームウェアが改ざんされていないことを起動時に検証する仕組みだが。
一方で、この検証をバイパスできる欠陥が存在した。
加えて、Wi-Fi経由でデバイスにアクセスする際の認証処理にも問題があり。
ただし、同一ネットワーク内にいる攻撃者が不正なコマンドを送信できる状態だった。これらを組み合わせることで。
このように、攻撃者はカスタムファームウェアをインストールし。
特に、マイクへのアクセス権を取得できた。
特に問題だったのは。
実際に、この攻撃が「Over-the-Air(OTA)」で実行可能だった点だ。物理的にデバイスに触れることなく。
加えて、ワイヤレス通信だけで侵害が完了する。自宅のSonosスピーカーが。
もちろん、知らないうちに盗聴器に変わっている可能性があったわけだ。
Sonosの対応状況
そのため。
また、NCCグループからの報告を受け。Sonosはファームウェアアップデートで脆弱性を修正済みだ。Sonosユーザーは。
さらに、アプリからファームウェアが最新バージョンになっているか必ず確認してほしい。自動アップデートを有効にしている場合でも。
手動で確認しておくと安心だ。
IoT機器全般に共通するリスク
具体的には、今回のSonosの事例は。
IoT(モノのインターネット)機器全般が抱えるセキュリティリスクを象徴している。スマートスピーカー。
監視カメラ、スマートロック、ロボット掃除機——これらの機器はすべて。
攻撃者にとって魅力的なターゲットだ。
たとえば。
多くのIoT機器に共通する問題点がある。まず。アップデートの頻度が低いこと。PCやスマートフォンと比べて。
ファームウェアの更新が不定期で、脆弱性が長期間放置されやすい。次に。
ユーザーがセキュリティリスクを認識していないこと。「スピーカーがハッキングされる」と想像する人は少ない。
さらに。
多くのIoT機器は一度設置したら設定を見直すことがほとんどない。初期パスワードのまま運用されていたり。
不要な機能が有効になっていたりするケースは非常に多い。
自宅のIoT機器を守るためにできること
対策はシンプルだが。
実践している人は意外と少ない。ファームウェアを常に最新に保つこと。IoT機器専用のネットワーク(VLAN)を作って他のデバイスと分離すること。使わない機能(リモートアクセスなど)は無効化すること。
また。
購入前にメーカーのセキュリティへの取り組みを調べることも大切だ。定期的にセキュリティアップデートを提供しているか。
脆弱性報告プログラムを持っているかなど。安さだけで選ぶと。
セキュリティの「見えないコスト」を支払うことになりかねない。
あわせて読みたい:フィッシング攻撃の最新動向、Chrome拡張機能の危険性、Quick Shareの脆弱性
参考リンク:NCC Group公式サイト、Sonos公式セキュリティ