インターホンにリモートからのぞき見できる脆弱性、乗っ取りも簡単
マイナビニュース2024年3月5日(火)15時27分
Consumer Reportsはこのほど、「Video Doorbells Sold By Big Retailers Have Major Security Flaws - Consumer Reports」において、中国のEKENが製造・販売しているインターホンに脆弱性を発見したと報じた。この脆弱性は悪用されると、デバイスの映像を閲覧または完全に制御されるリスクがある。
○インターホンに潜む脆弱性の概要
発見された脆弱性はEKENのインターホンに加え、EKENがOEM供給しているとみられる他社ブランド(Andoe、Tuck、Fishbot、Rakeblueなど)のインターホンからも発見されている。これら製品は「Aiwit」と呼ばれるアプリを使用して制御するという共通点がある。
Consumer ReportsはEKENに発見した脆弱性について報告したが、回答は得られていない。そのため、今回はEKENによる対策の進捗に関係なく情報公開されたものとみられる。
脆弱性は2つ指摘されている。1つは暗号化せずにIPアドレスとWi-Fiネットワーク名(SSID)をインターネットに公開している不具合。もう1つは物理的にインターホンにアクセスできる人物であれば誰でもデバイスを乗っ取ることができる不具合。
後者はAiwitをインストールしたスマートフォンを標的のインターホンに近づけて、ドアホンをペアリングモードにするだけで乗っ取り可能とされる。一般的にインターホンはドアの外側に設置されるため、誰でも侵害可能とみられている。
この方法でインターホンを乗っ取ると、元の所有者に対してデバイスにアクセスできなくなったことを知らせるメールが送信される。そのため、再ペアリングにより所有権を取り戻すことはできるが、問題は製品のシリアル番号を窃取されることにある。
調査によるとシリアル番号を知っているユーザーは誰でもビデオフィードの静止画像をリモートから隠れて閲覧が続けられるという。このアクセスにパスワードやアカウントは必要ない。
○脆弱性の影響と対策
Consumer Reportsの調査によると、これら製品はAmazon、Walmart、Temuなどで販売されており、月に4,200台以上の販売実績があるという。Walmartはすでに指摘された製品の販売を停止している。Temuも同様の対策を実施したと声明を発表したが、販売継続しているとの指摘がある。Amazonは対応を表明していない。
Consumer Reportsはこれら脆弱性を米国連邦取引委員会(FTC: Federal Trade Commission)に報告している。現在、同委員会が調査中と見られ、どのような措置が講じられるかはまだ明らかになっていない。
発見された脆弱性はメーカーによる対策が見込めないため、製品の所有者には製品の使用停止または破棄が推奨されている。また、代替品が必要な場合は高い信頼性とサポートの期待できるメーカーの製品を導入することが望まれている。
○インターホンに潜む脆弱性の概要
発見された脆弱性はEKENのインターホンに加え、EKENがOEM供給しているとみられる他社ブランド(Andoe、Tuck、Fishbot、Rakeblueなど)のインターホンからも発見されている。これら製品は「Aiwit」と呼ばれるアプリを使用して制御するという共通点がある。
Consumer ReportsはEKENに発見した脆弱性について報告したが、回答は得られていない。そのため、今回はEKENによる対策の進捗に関係なく情報公開されたものとみられる。
脆弱性は2つ指摘されている。1つは暗号化せずにIPアドレスとWi-Fiネットワーク名(SSID)をインターネットに公開している不具合。もう1つは物理的にインターホンにアクセスできる人物であれば誰でもデバイスを乗っ取ることができる不具合。
後者はAiwitをインストールしたスマートフォンを標的のインターホンに近づけて、ドアホンをペアリングモードにするだけで乗っ取り可能とされる。一般的にインターホンはドアの外側に設置されるため、誰でも侵害可能とみられている。
この方法でインターホンを乗っ取ると、元の所有者に対してデバイスにアクセスできなくなったことを知らせるメールが送信される。そのため、再ペアリングにより所有権を取り戻すことはできるが、問題は製品のシリアル番号を窃取されることにある。
調査によるとシリアル番号を知っているユーザーは誰でもビデオフィードの静止画像をリモートから隠れて閲覧が続けられるという。このアクセスにパスワードやアカウントは必要ない。
○脆弱性の影響と対策
Consumer Reportsの調査によると、これら製品はAmazon、Walmart、Temuなどで販売されており、月に4,200台以上の販売実績があるという。Walmartはすでに指摘された製品の販売を停止している。Temuも同様の対策を実施したと声明を発表したが、販売継続しているとの指摘がある。Amazonは対応を表明していない。
Consumer Reportsはこれら脆弱性を米国連邦取引委員会(FTC: Federal Trade Commission)に報告している。現在、同委員会が調査中と見られ、どのような措置が講じられるかはまだ明らかになっていない。
発見された脆弱性はメーカーによる対策が見込めないため、製品の所有者には製品の使用停止または破棄が推奨されている。また、代替品が必要な場合は高い信頼性とサポートの期待できるメーカーの製品を導入することが望まれている。
「インターホン」をもっと詳しく
「インターホン」のニュース
-
『進む事務所の省人化、自席PCや他事務所からでも応対できる「先進的IPインターホン」』というテーマのウェビナーを開催4月24日11時16分
-
パナソニックEW、インターホンを活用した地域情報コミュニケーションサービス4月16日9時31分
-
地域情報コミュニケーションサービス「まちベル」提供開始4月15日17時17分
-
“鍵を持たず”に“顔パス”で共有エントランスのオートロックが解錠できる!「くじらスマートインターホン for オートロックシステム」に「顔認証機能」が追加されました!4月10日10時16分
-
ハウディ、5Gを活用した次世代インターホン「Familia CALL」を開発、予約販売開始4月4日18時16分
-
業界初ワイヤレスで簡単にオートロック化できるインターホンシステム新発売3月8日15時46分
-
インターホンにリモートからのぞき見できる脆弱性、乗っ取りも簡単3月5日15時27分
-
訪日旅行客をはじめ、国内外のお出かけ需要が戻る小田原駅で、ご案内機能を充実!2月15日、「スマホでインターホン」導入に向けた実証実験をスタート2月14日16時46分
-
顔認証・インターホン対応システム「FGスマートコール」をエスリードに提供1月26日15時46分
-
離れて暮らす親の家のインターホン、モニターなしが4割も!訪問者をモニターで確認しない対面応対は危険がいっぱい12月18日17時46分