7月19日(米国時間)、Threatpostに掲載された記事「Bad Code Library Triggers Devil's Ivy Vulnerability in Millions of IoT Devices|Threatpost|The first stop for security news」が、Axis Communicationsのカメラのほとんどのモデルに「Devil's Ivy」と呼ばれる脆弱性が存在していると伝えた。この脆弱性を悪用されると、遠隔から攻撃者によってビデオフィードへの介入、デバイスの再起動、ビデオフィードの一時停止などの操作を実施される危険性があるとされている。

この脆弱性を発見したのは、Senrioというセキュリティベンダーの研究者。同社のブログによると、Axis Communicationsが提供している251のモデルのうち249のモデルにこの脆弱性が存在しているという。Senrioの研究者は、Axis Communicationsのセキュリティ・カメラ「M3004」を乗っ取るデモンストレーションの動画を公開している。

Axis Communicationsのセキュリティ・カメラ「M3004」

しかし、この脆弱性はAxis Communicationsが提供しているデバイスに限定されるものではなく、同じソフトウェアを使っているほかの34の企業が提供しているプロダクトにも存在していると指摘している。該当する企業としてMicrosoft、IBM、Xerox、Adobe Systemsの名前が挙げられている。

監視カメラや各種センサーなど、現在ではさまざまなデバイスがインターネットに接続された状態で日々使われている。こうしたデバイスのセキュリティ状況はあまりよくなく、日を追うごとに脆弱性が発見されている。今後こうしたデバイスのセキュリティをどのように確保していくかは業界全体の問題として取り組んでいく必要がある課題とされている。

まず、どのデバイスがインターネットに接続されているのかを把握し、脆弱性が発見された場合は迅速にファームウェアのアップデートの実施や回避策の実施などを行うことが望まれる。