Select regional site

【Tripwire 】ホームプレスリリースTripwire、有名なスマートホームオートメーションハブに重大なセキュリティ上の欠陥を発見

Tripwire、有名なスマートホームオートメーションハブに重大なセキュリティ上の欠陥を発見

Amazon のスマートホームシステム ベストセラー製品に内在するゼロデイ脆弱性を新たな調査で発見

ポートランド州オレゴン、2015 年 8 月3 日 -高度な脅威、セキュリティおよびコンプライアンスソリューションの主要なグローバルプロバイダである Tripwire, Inc. は、Amazon のスマートホームオートメーションハブ 売れ筋製品3種類に対する詳細なセキュリティ評価の結果を発表しました。調査の結果、ハッカーによるスマートホーム機能の乗っ取りを許す可能性のあるゼロデイ欠陥を、各ハブに発見しました。

スマートホームハブは、一般家庭の照明、暖房、施錠、カメラの制御に使用されます。スマートホームハブに関連するリスクを把握する目的で、Tripwire の Vulnerability and Exposure Research Team(VERT)は、Amazon 社の売れ筋のスマートホームシステム 3 製品を分析しました。その結果、各デバイスにゼロデイにつながる欠陥を発見しました。ハッカーがこれらの脆弱性を悪用した場合、次のことが可能になります。

  • 住人の不在を知る
  • 警報の設定を変える
  • 不正にロックを解除する
  • LAN にアクセスする
  • スマートハブを DDoS 攻撃に利用する

Tripwire のセキュリティ調査員であるクレイグ・ヤングは次のようにコメントしています。「スマートホームハブの人気は着実に高まっています。しかし、多くの消費者向けハイテク製品と同様に、セキュリティが機能に追いついていません。スマートホームハブによって、家庭内の接続されたデバイスが制御可能になります。しかし、それは犯罪者に新たな扉を開くことになります。脅威のレベルはまだ比較的低いものの、悪意を持つ者が、これらのデバイスを攻撃して得ることのできる情報に気づいたら、脅威の度合いは増すでしょう。」

「これらのデバイスは、家庭に物理的な損害を負わせるためのゲートウェイとして悪用される可能性があります。実際に、多くのケースでは、家庭の安全性が損なわれています。」Tripwire の研究開発部門ディレクターのラマール・ベイリーは、次のように説明しています。「これらのデバイスの多くは、暖房、換気、空調と連動しています。たとえば、氷点下の夜、ある家族が眠っているとき、もしくは週末不在のときに、攻撃者が暖房を切ってしまえば、配管を凍結させて破裂させることができるのです。」

現在、3つのベンダーのうちの2つでは、報告された欠陥に対するパッチを提供しています。しかし、1 つのベンダーのスマートホームシステムはまだ危険にさらされています。このままでは、VERT の分析で発見された脆弱性が、悪質な Web ページやスマートフォンアプリ経由で悪用され、システムレベルのアクセス権を奪取してコマンドが実行されるかもしれません。

Tripwire のセキュリティ調査マネージャーのタイラー・レギュリーは次のように訴えます。「リモートコード実行の脆弱性のあるスマートホームハブにより、攻撃者がネットワーク上で自身の存在を隠しながら、ウイルス感染させたコンピューターからハブへ侵入することが可能になります。さらに、クロスサイトリクエストフォージェリ(CSRF)の手口で、ユーザーが Web を閲覧したり E メールを開いたりする都度、デバイス設定を操作することもできます。このようなリスクは本物であり、侵入手口は多数あります。ベンダーは脆弱性を認め、定期的にアップデートを提供すべきです。また、ユーザーはリスクを認識し、ベンダー発行のアップデートを適用する必要があります。」

ビデオ:Smart Home Invasion(英語)

Tripwire について

高度な脅威対策、セキュリティおよびコンプライアンスソリューションのリーディングプロバイダである Tripwire は、企業、サービスプロバイダ、政府機関がサイバーセキュリティ上の脅威を確実に検知して回避、対応することを可能にしています。Tripwire のソリューションは、忠実度の高い資産の可視化機能および詳細なエンドポイントインテリジェンスをベースに、ビジネスコンテキストを組み合わせ、エンタープライズインテグレーションを用いてセキュリティの自動化を実現しています。Tripwire のエンタープライズクラスのセキュリティソリューションには、コンフィグレーション/ポリシー管理ファイル整合性監視脆弱性管理ログインテリジェンスが含まれています。 詳細については www.tripwire.com を参照ください。また、セキュリティ関連のニュース、トレンド、および知見については http://www.tripwire.com/state-of-security/ をご覧になるか、Twitter で @TripwireInc をフォローしてください。

本件に関する報道関係者からのお問い合わせ

名称 トリップワイヤ・ジャパン株式会社
担当 マーケティング部 井上
電話番号 03-5206-8610
FAX 03-5206-8613
メールアドレス TWMktgJapan@tripwire.com
ご購入または
技術的なご相談
お問い合わせ
販売パートナー
購入後の技術的なお問い合わせは販売代理店のサポート窓口にご連絡ください。

変更検知のデファクトスタンダードTripwire

Tripwire社の製品は、現在Fortune 500社の50%以上を含む、9,000社以上のお客様にご利用いただいております。
脆弱性管理ソリューションも新たに追加し、お客様のセキュリティ・リスク管理、コンプライアンスの実現をサポートします。