ハッキングが簡単に!? ベビーモニターに潜む危険性

IoTセキュリティニュース

micam-768x403.jpeg

一般的にベビーモニターを購入する目的は、別の部屋や外出先から赤ちゃんの様子を確認し、危険から守るためですよね。

しかし、インターネットを利用する監視用デバイスが増えているため、私たちは、見知らぬ人に子供たちを見張られる、盗聴される、さらには話しかけられるなどの危険にさらしてしまう可能性があります。

オーストリアのセキュリティコンサルティングサービス会社であるSEC Consultの研究者は、最新のベビーモニターが重大なセキュリティ脆弱性の影響を受け、非常に深刻なプライバシーの問題を引き起こす、と警告しました。(参照記事

記事の中で注目されているのはmiSafes社のMi-Camという製品で、「全ての人のためのWi-Fiリモートビデオモニター」と謳っています。720P HDビデオカメラ、双方向通話機能、無料のローカルビデオ録画機能を搭載し、iPhoneやAndroidスマートフォン用の「ユーザーフレンドリーな」アプリでコントロールできます。

SEC Consultの研究者によると、Mi-Camには多くの既知の脆弱性の影響を受けやすい古いファームウェアも含まれています。そのため、単一のHTTPリクエストを変更するだけで、子供の託児所の覗き見や、近くにいる人と会話することができてしまいます。

分析の中で研究者は、アプリやモニター自体と、それに応答するクラウドインフラとの間の通信に注目しました。多くの分野で欠点があることが判明したのです。

  1. セッションマネジメントが壊れている &ダイレクトオブジェクトリファレンスが安全ではない
  2. パスワード変更時の確認用コードが無効になっていない
  3. 利用可能なシリアルインターフェース
  4. 初期設定の認証強度が弱い
  5. ユーザーアカウントの一覧表示
  6. 古くて脆弱性があるソフトウェア

アプリ自体には研究者はそれほど注力していませんでしたが、それでも欠陥が見つかりました。例えば、カメラの制御に使用するAndroidアプリも簡単に侵入されてしまいます。

「セッション管理が壊れているため、攻撃者が任意のセッショントークンを使って多数の重要なAPIを呼び出すことが出来てしまいます。」

「これにより、攻撃者は、アカウントとそれに接続しているベビーモニターに関する情報を取得できます。この機能によって取得した情報を使えば、提供されたUIDに接続するすべてのビデオベビーモニターを表示して操作することができるでしょう。」

このYouTubeのビデオで、Mi-Camビデオモニターのハイジャックがどれほど簡単にできるかを実演しています。

IoTデバイスに脆弱性があることは、好意的にはありませんが受け入れることができます。子供たちを守りたいと考えている両親に対して販売されているインターネット接続型デバイスの中に、安全が最優先事項として考えられていないものがあることも、納得していませんが分かっています。

本当に憤りを覚える点は、研究者に対するMi-Camのメーカーの対応です。研究者が2017年12月から責任を持ってMiSafesや中国のコンピュータ緊急対応チームに脆弱性を開示し、優先事項として修正対応できるようにしているにもかかわらず、メーカー側はすべて無反応でした。

だからこそ、研究者はウィーンで開かれたサイバー犯罪会議でこの調査結果を発表し、懸念を表明したのです。

彼らの見解では、Mi-Camには問題が残っており、修正予定のタイムラインもありません。そのため今後の案内があるまで、ユーザーはそのベビーモニターをオフラインにしておくべきだ、とアドバイスしています。

恐ろしいことに、これはIoTデバイスの長い歴史の中で、プライバシーやセキュリティの保護に関する取り組みが不足していることが判明した、最新の出来事のひとつに過ぎません。間違いなく、今後もっと多くの問題が発生するでしょう。Amazonで安価なIPカメラを購入するときには、このことを覚えておいてください。


翻訳元記事(Bitdefender BOX Blog - IoT Security Insights):23 February 2018
Hacking these IoT baby monitors is child's play, researchers reveal
(https://www.bitdefender.com/box/blog/family/hacking-iot-baby-monitors-childs-play-researchers-reveal/)