Kasperskyの調査チームは、自社の社員の住宅に設置されているスマートホーム全体の運用を管理できるFIBAROのコントローラ「Home Center Lite」を対象に脆弱性がないかの検証を行った結果、重大な脆弱性を複数発見したほか、対象となったコントローラの販売企業がセキュリティプロトコルのアップデートを行い、対応を完了したことを明らかにした。
今回、検証の対象となったのは、ホームオートメーションに広く採用されている無線通信プロトコル「Z-Wave」、管理パネルのWebインタフェース、クラウドインフラストラクチャで、デバイスからの要求に対する処理方法を調査したところ、認証プロセスに脆弱性があり、リモートコード実行される恐れがあることが判明。クラウドインフラストラクチャを今回の実験での有効な攻撃経路と判断したとする。
具体的には、これらを組み合わせた攻撃により、システム上では何の権限も持ってない第三者が、コントローラからクラウドにアップロードされたすべてのバックアップへのアクセス、および感染したバックアップをクラウドにアップロードして特定のコントローラにそのバックアップをダウンロードさせることが可能であることを確認。実際に、調査チームがテスト攻撃をコントローラに仕掛けた結果、システムへ侵入することに成功し、その証明のために、目覚まし時計のアラームの音量などの設定を変更、翌日、対象となった住宅に住む同社従業員は、大音量のドラムとベース音によってたたき起こされることとなったという。
すでにFIBAROは、隠れた脆弱性を排除することを可能とする更新プログラムの配信を開始しており、ユーザーには送信されたメールがFABAROのWebサイトでの発表と一致しているかどうかを常にチェックするよう、強く推奨したとしており、更新プログラムを適用することで、システムの機能改善と併せて、サイバー攻撃者による個人データの窃取をより困難にすることができるようになると説明している。
なお、Kasperskyでは、デバイスを安全に保護するためのアドバイスとして、以下のようなことを挙げている
- 生活を「スマート化」するときには、セキュリティ上のリスクを考慮する。
- IoTデバイスを購入する前に、脆弱性に関する情報について、インターネット検索などであらかじめ調べておく。
- 最近発売されたデバイスには、新製品にありがちな初期不良やバグのほか、まだ発見されていないセキュリティ上の問題が存在する可能性があるため、製品を購入する際は、発売されたばかりの最新製品ではなく、すでに数回のソフトウェアアップデートが行なわれている製品を選ぶ。
- すべてのデバイスに、最新のセキュリティアップデートとファームウェアアップデートを適用し、最新の状態になっていることを確認する。
- 堅牢なセキュリティ製品を使用して、ユーザーのオンラインアカウントとホームWi-Fiネットワークを保護し、プライベートネットワークのプライバシーを守る。