電動歯ブラシがサイバー攻撃？ 誤報に至った経緯とは

Security Affairsは2月8日(現地時間)、「Unraveling the truth behind the DDoS attack from electric toothbrushes」において、300万台のスマート電動歯ブラシが侵害され分散型サービス拒否攻撃(DDoS: Distributed Denial of Service attack)に悪用されたとする誤報の経緯について伝えた。この誤報は2024年1月30日(現地時間)、ドイツの新聞社「Aargauer Zeitung」が報じた記事が発端となった(参考：「Cybergefahren: So schützen Sie sich」)。
○スマート電動歯ブラシがサイバー攻撃
Aargauer Zeitungが当時報じた内容は、「300万台のスマート電動歯ブラシがマルウェアに侵害され、スイス企業への分散型サービス拒否攻撃に悪用された。その結果、数百万ユーロの損害が生じた」というもの。この記事は複数のメディアに取り上げられ、適切な検証もなく報道された。
その後、複数の専門家からフェイクニュースではないかと指摘が相次いだ。一般的なスマート電動歯ブラシは、Bluetoothを使用してスマートフォンなどのアプリと通信し、アプリを介してサーバと情報を共有する。そのため、何らかの手段でスマート電動歯ブラシを侵害しても直接インターネットを介した通信はできない。
○誤報の原因
誤報記事の情報源はサイバーセキュリティ企業「Fortinet」の従業員の話とされる。Security Affairsによると、スイスのFortinet代表者がAargauer Zeitungのインタビュー中にこの事案について語り、本物の分散型サービス拒否攻撃(DDoS)だったと述べたという。また、企業名は伏せられたがそれ以外のダウンタイムや損害の詳細についても語ったとされる(参考「Zahnbürsten-Cyberangriff: Hintergründe zu einer ungewöhnlichen Geschichte」)。
これに対し、Fortinetはこの件について国際メディア宛に声明を発表。その中で「DDoS攻撃に悪用された歯ブラシのトピックは、特定のタイプの攻撃例としてインタビュー中に提示したものであり、FortinetやFortinet研究所の研究に基づいたものではない。翻訳のせいでこのトピックに関する物語は、仮説と実話が曖昧になるところまで引き伸ばされたようだ」と述べ、翻訳ミスで例え話と実際の話が混同された結果、誤った記事が出版されたと指摘している。
しかしながら、Aargauer Zeitungはこの指摘に反論。記事を出版する前にFortinetに確認を取ったが、異論は起きなかったとしている。また、このFortinetの声明が直接Aargauer Zeitungに送信されていないとして対応を非難している。