はじめに
スマート電球がハッキングの標的にされ、セキュリティリスクが浮き彫りになっています。これらの便利なデバイスは、リモート制御や自動化を可能にする一方で、適切な対策が取られない場合、個人のプライバシーやセキュリティを脅かすリスクを孕んでいます。
ハッカーは、スマート電球に組み込まれた脆弱性を悪用し、ユーザーのネットワークに侵入する可能性があります。これにより、個人情報が盗まれたり、不正アクセスが行われたりする危険性があります。過去の事例では、不正なアクセスによって家庭内のネットワークが乗っ取られ、悪意ある行動が行われるケースが報告されています。
この問題に対処するためには、ユーザー自身がセキュリティに関する基本的な対策を講じる必要があります。まず第一に、スマート電球を導入する際には信頼性のあるメーカーから購入し、セキュリティに関するアップデートが頻繁に行われているか確認することが重要です。また、強力なパスワードの設定や、ネットワークのセキュリティ設定の見直しも怠らないようにしましょう。
スマート電球は便利なアイテムですが、その利用には慎重さが求められます。セキュリティ対策を怠らず、安全なオンライン環境を維持するために、定期的な注意と対策の見直しが欠かせません。
元記事の翻訳
モノのインターネット(IoT)の現在の台頭はピークに達しており、電球やプラグなどのスマートフォンを介して基本的なアイテムを制御可能なスマートデバイスに変換することにより、その能力を急速に拡大しています。
2021年には、IoTデバイスは13億を超えました。2025年までに、それは2倍に達すると言われています。ただし、この急増は、脅威アクターに大きな攻撃の可能性を生み出し、セキュリティアナリストにセキュリティ上の課題をもたらします。
それぞれの大学の以下のサイバーセキュリティアナリストは最近、ハッカーがスマート電球をハッキングしてWi-Fiパスワードを盗む可能性があることを特定しました。
イタリア、カターニア大学数学・情報学科のDavide Bonaventura氏
イギリス、ロンドン大学ロイヤル・ホロウェイ、情報セキュリティグループのSergio Esposito氏
イタリア、カターニア大学数学・情報学科のGiampaolo Bella氏
テクニカル分析
スマート電球の脆弱性評価および侵入テスト(VAPT)を実施するために、研究者は、ネットワークの脆弱性を検出する新しいIoTに焦点を当てたキルチェーン(KC)であるPETIoTを使用したTp-Link TapoスマートWi-Fiマルチカラー電球(L530E)を選択しました。
Tapo L530Eは、クラウド対応のマルチカラースマート電球であるため、ハブを必要とせずにAndroidまたはiOSのTapoアプリを介して制御でき、自宅のWi-Fiに直接接続できます。
サイバーセキュリティニュースと共有されたレポートで、研究者は、このスマート電球モデルが次の4つの脆弱性に対して脆弱であることを確認しました。
- Tapoアプリによるスマート電球の認証の欠如(CVSSスコア8.8、重大度高)
- ハードコーディングされた短い共有鍵 (CVSS スコア 7.6、重大度高)
- 対称暗号化中のランダム性の欠如(CVSSスコア4.6、重大度中)
- メッセージの鮮度が不十分 (CVSS スコア 5.7、重大度中)
セキュリティ・アナリストが行った分析とテストにより、ターゲットとなるスマート電球に対する近接ベースの攻撃が明らかになりました。
攻撃者は、「Tapoアプリによるスマート電球の認証の欠如」という欠陥を悪用し、セットアップモードで電球になりすましたり、再セットアップを試みるために電球を認証解除することで、TapoおよびWi-Fiの認証情報を取得することができます。
取得した認証情報を使用して、攻撃者は中間者攻撃を開始し、電球のセットアップ中にセッション・キーを傍受し、公開されたWi-Fi認証情報を使用して悪意ある活動を拡大することができます。
以下に、研究者たちによってデモされたすべてのセットアップを挙げます。
Setup A
Network without a local smart bulb (Source – Arxiv)
Setup B
Network with a configured smart bulb (Source – Arxiv)
Setup C
Network with a non-configured bulb (Source – Arxiv)
攻撃シナリオ
以下では、すべての攻撃シナリオについて説明します。
- 偽の電球検出メッセージの生成。
- Tapo ユーザー アカウントからのパスワードの流出。
- 構成されたTapo L530EによるMITM攻撃。
- スマート電球を犠牲者として攻撃を再生します。
- 未設定のTapo L530EによるMITM攻撃。
さらに、TP-Linkは、「Tapo スマートWi-Fiマルチカラー電球(L530E)」に関連するこれらの調査結果について、セキュリティアナリストからすでに通知を受けています。
これに応えて、TP-Linkは、アプリと電球のファームウェアに影響を与えるこれらの欠陥を修正することを研究者に保証しました。
出典
Smart Bulbs can be Hacked to Steal Wi-Fi Passwords
Smart Bulbs can be Hacked to Steal Wi-Fi Passwords (cybersecuritynews.com)
注意書き
本ブログでは、個人的な情報収集・学習を目的に元の記事を翻訳・要約して掲載していますが、記事内容の正確性について、当方は一切の責任を負いません。必ず出典元の情報をご確認の上、各自の責任にてご利用ください。
コメント