KeyWe社が市場で展開しているKeyWe Smart Lockは、主に個人の住宅で使用されるリモート制御のエントリデバイスであり、ユーザはスマートフォンのアプリでドアの開閉ができます。F-Secure Consultingは、通信プロトコルの設計における脆弱性により、物理デバイスとモバイルアプリの間で交換されるロックを制御する秘密のパスワードが傍受されてしまうことを発見しました。
今回の脆弱性発見に関わったエフセキュアのサイバーセキュリティコンサルタントであるKrzysztof Marciniak (クリストフ・マーシニアック) は述べています。
「スマートロックにはいくつかの保護メカニズムがありますが、設計上の不備により、これらのメカニズムをバイパスして、ロックとアプリとの間で交換されるメッセージを攻撃者が簡単に傍受でき、比較的単純と言える攻撃に対して脆弱な状態となります。しかし、これを防御する方法はないのです。そのため、スマートロックで保護された住居に簡単に侵入することができてしまいます。何度も、簡単にです。攻撃者にとって必要なのは、わずかなノウハウ、家電量販店でたった10ドルで購入できるトラフィックをキャプチャするためのデバイス、そして誰がこのスマートロックを使用しているかを見つけるためのほんの少しの時間です。」
多くのIoTデバイスが市場に出回っているなか、これはメーカーとユーザが直面しているセキュリティ上の問題の一つに過ぎません。最近のリサーチでは、2025年までに推定1,250億台のデバイスがインターネットに接続されるだろうと考えられています。*1 IoTデバイスの普及に伴い、より多くのセキュリティ上の懸念が浮上してきます。
*1 (リンク »)
スマートロックには通常、権限を持たない第三者が秘密のパスワードなどのシステム上の重要な情報にアクセスすることを防ぐためのデータ暗号化など、いくつかの便利なセキュリティ機能が搭載されています。しかし、F-Secure Consultingは、このKeyWe社製スマートロックのセキュリティ対策を回避できてしまう、比較的簡単な方法を発見しました。そして、デバイスがファームウェアの更新を受信できないため、見つかった脆弱性を修正することはできません。スマートロックのユーザはロックそのものを交換するか、侵入されるリスクに耐えるかを選択しなければなりません。
Marciniakは、セキュリティは正しく実装された場合にのみ機能すると指摘しています。これは、全てのIoTデバイスメーカーが理解する必要がある、重要かつ微妙な点です。
「全てのデバイスや企業に共通して保護を提供する『フリーサイズ』のセキュリティサービスなどありません。ユーザ、使用環境、潜在的脅威モデルなど様々な要素を考慮して導入する必要があります。これを実行するのは簡単ではありませんが、IoTデバイスメーカーがファームウェアの更新ができない製品を出荷する場合、設計段階からセキュリティについて意識する必要があります。」
Marciniakはまた、元々オフラインデバイスだったものをオンラインバージョンに置き換える前に、インターネット接続におけるセキュリティの懸念に広く消費者に認識してもらうことと、デバイスメーカーが設計の一環として製品のセキュリティ評価を実施することを強く勧めています。
今回発見したKeyWe社製スマートロックの具体的な脆弱性にはユーザが実行できる対策がなく、また、攻撃者が簡単にその脆弱性を利用できてしまうため、エフセキュアでは重要な技術的詳細の発表を差し控えることとしました。ただし、詳細情報を含むアドバイザリーとブログ投稿はF-Secure Labsページに掲載しています。また、デバイスメーカー向けの追加のサポートとサービスは、F-Secure Consultingページよりご覧いただけます。F-Secure Consultingは4大陸11ヶ国に拠点を構え、銀行、金融サービス、航空、海運、小売、保険、その他セキュリティがクリティカルとなる分野において、高度なサイバーセキュリティコンサルティングサービスを提供しています。
KeyWe社製スマートロックに関するアドバイザリー
(リンク ») (英語)
(リンク ») (日本語)
F-Secure Labs:
(リンク »)
F-Secure Consulting:
(リンク »)
用語解説
エフセキュアについて
エフセキュアほど現実世界のサイバー脅威についての知見を持つ企業は市場に存在しません。数百名にのぼる業界で最も優れたセキュリティコンサルタント、何百万台ものデバイスに搭載された数多くの受賞歴を誇るソフトウェア、進化し続ける革新的な人工知能、そして「検知と対応」。これらの橋渡しをするのがエフセキュアです。当社は、大手銀行機関、航空会社、そして世界中の多くのエンタープライズから、「世界で最も強力な脅威に打ち勝つ」という私たちのコミットメントに対する信頼を勝ち取っています。グローバルなトップクラスのチャネルパートナー、200社以上のサービスプロバイダーにより構成されるネットワークと共にエンタープライズクラスのサイバーセキュリティを提供すること、それがエフセキュアの使命です。
エフセキュアは本社をフィンランド・ヘルシンキに、日本法人であるエフセキュア株式会社を東京都港区に置いています。また、NASDAQ ヘルシンキに上場しています。詳細は (リンク ») (英語) および (リンク ») (日本語) をご覧ください。また、Twitter @FSECUREBLOG でも情報の配信をおこなっています。
お問い合わせにつきましては発表元企業までお願いいたします。