Kaspersky、スマートホームコントローラーの重大な脆弱性を発見　～当社社員宅のスマートホームシステムで検証実験を実施～

[本リリースは、2019年7月1日にKasperskyが発表したプレスリリースに基づき作成したものです]

Kasperskyの調査チームは、スマートホームシステムに対応したコントロールデバイスの検証実験中に、重大な脆弱性を複数発見しました。その中には、クラウドインフラストラクチャに関するバグや、リモートコード実行を可能にするバグが含まれており、これらを悪用した場合、第三者がコントローラーのroot権限を取得し、スマートホーム対応機器を自由自在に操作できるおそれがありました。Kasperskyはコントローラーを販売するFIBARO社に報告し、同社は直ちにセキュリティプロトコルのアップデートを行い、対応を完了しています。

IoTのセキュリティが初めて調査されてから何年も経ちました。IoTは拡大と発展を続けているため、このような調査は引き続き重要です。新しい製品やソリューションが登場すると、脅威も新たにそれらに対応し、人々の安全を脅かします。Kasperskyの調査チームは、当社社員宅のスマートシステムに脆弱性が無いかを検証することにしました。この検証実験では、スマートホーム全体の運用を管理できるコントローラーを対象にしました。もし、コントローラーへの不正侵入に成功した場合は、家全体のスマートホームシステムは侵害され、スパイ活動や窃取、物理的な破壊行為までを許すことになります。

調査チームは、この実験の情報収集段階で攻撃経路を検討し、ホームオートメーションに広く採用されているZ-Waveという無線通信プロトコル、管理パネルのWebインターフェイス、クラウドインフラストラクチャをその候補に挙げました。その後、デバイスからの要求に対する処理方法を調査したところ、認証プロセスに脆弱性があり、リモートコード実行される恐れがあることが判明したため、クラウドインフラストラクチャを今回の実験での有効な攻撃経路と判断しました。

これらを組み合わせることで、システム上では何の権限も持ってない第三者が、FIBARO社のコントローラー「Home Center Lite」からクラウドにアップロードされたすべてのバックアップへのアクセス、および感染したバックアップをクラウドにアップロードして特定のコントローラーにそのバックアップをダウンロードさせることが可能になりました。

この実験の総仕上げとして、当社の調査チームは、コントローラーにテスト攻撃を仕掛けました。まず、別途開発したスクリプトが仕込まれた特別なバックアップを用意し、パスワードで保護しました。次に、ターゲットにしたデバイスの所有者にクラウド経由でメールとSMSを送信し、コントローラーのファームウェアの更新を求めました。デバイスの所有者は、要求通りに更新に応じ、感染したバックアップファイルをダウンロードしました。これにより調査チームは、スマートホームコントローラーのroot権限を取得し、接続先のエコシステムを操作できるようになりました。システムへの侵入成功を証明するため、調査チームは目覚まし時計のアラーム音を変更しました。翌日、デバイス所有者であるこの従業員は、大音量のドラムとベースにたたき起こされることになりました。

Kaspersky、ICS CERTのセキュリティリサーチャー、パーヴェル・チェレムシュキン（Pavel Cheremushkin）は次のように述べています。「コントローラーのアクセス権を掌握したのが本物の攻撃者だった場合は、目覚まし時計にいたずらするだけでは済まないでしょう。私たちが検証したデバイスには、あらゆる「smart things - スマートなモノ」を統合する機能がありました。つまり、この家の所有者は、1個のコントローラーによってスマートデバイスをすべて管理できるのです。これまでの調査の大半は、検証用の環境で行われていたため、実際に稼動しているシステムをターゲットにした今回の検証実験は非常に貴重なものとなりました。これにより、IoTのセキュリティに対する関心は高まっているにも関わらず、いまだに対応すべき問題があることが明らかになりました。さらに重要なことは、検証対象デバイスは、スマートホームのネットワークで使用できる仕様であり、大量生産されているということです。私たちは、この問題に対して責任ある対応を行ったFIBARO社に感謝します」

FIBARO社の最高製品責任者（CPO）、クリストフ・バナシアク（Krzysztof Banasiak）氏は次のように述べています。「IoTインフラストラクチャには、多層レイヤーで絶え間なく動作する複雑なシステムが必要ですが、それには、実装やアーキテクチャに関連した大量の作業が伴います。Kasperskyの検証と努力のおかげで、当社の製品とサービスのセキュリティ対策ができたことに感謝しています。Kasperskyと共同で、隠れた脆弱性を排除できたのです。FIBARO社のお客様には、更新プログラムのインストールと、メールがFIBARO Webサイトでの発表と一致しているかどうかを常にチェックするよう、強くおすすめします。この更新プログラムにより、システムの機能を改善すると同時に、サイバー攻撃者による個人データの窃取をより困難にします」

■デバイスを安全に保護するためのアドバイス：

• 　生活を「スマート化」するときには、セキュリティ上のリスクを考慮する。
• IoTデバイスを購入する前に、脆弱性に関する情報について、インターネット検索などであらかじめ調べておく。
• 最近発売されたデバイスには、新製品にありがちな初期不良やバグのほか、まだ発見されていないセキュリティ上の問題が存在する可能性があるため、製品を購入する際は、発売されたばかりの最新製品ではなく、すでに数回のソフトウェアアップデートが行なわれている製品を選ぶ。
• すべてのデバイスに、最新のセキュリティアップデートとファームウェアアップデートを適用し、最新の状態になっていることを確認する。
• 堅牢なセキュリティ製品を使用して、ユーザーのオンラインアカウントとホームWi-Fiネットワークを保護し、プライベートネットワークのプライバシーを守る。

検証実験について詳しくは、Securelistブログ「How we hacked our colleague’s smart home」（英語）をご覧ください。