-
タグ
タグ
- セキュリティ
- 人材開発・教育
- システム開発
- アプリ開発
- モバイルアプリ
- DX
- AI
- サイバー攻撃
- サイバー犯罪
- 標的型攻撃
- 脆弱性
- 働き方改革
- 企業市民活動
- 攻撃者グループ
- JSOC
- JSOC INSIGHT
- サイバー救急センター
- サイバー救急センターレポート
- LAC Security Insight
- セキュリティ診断レポート
- サイバー・グリッド・ジャパン
- CYBER GRID JOURNAL
- CYBER GRID VIEW
- ラックセキュリティアカデミー
- すごうで
- ランサムウェア
- ゼロトラスト
- ASM
- EDR
- SASE
- デジタルアイデンティティ
- インシデントレスポンス
- 情シス向け
- 対談
- CIS Controls
- Tech Crawling
- クラウド
- クラウドインテグレーション
- データベース
- アジャイル開発
- DevSecOps
- OWASP
- CTF
- FalconNest
- セキュリティ診断
- IoT
- EC
- サプライチェーンリスク
- スレットインテリジェンス
- テレワーク
- リモートデスクトップ
- アーキテクト
- プラス・セキュリティ人材
- 障がい者採用
- 官民学・業界連携
- カスタマーストーリー
- 白浜シンポジウム
- CODE BLUE
- 情報モラル
- クラブ活動
- 初心者向け
- 趣味
- カルチャー
- 子育て、生活
- 広報・マーケティング
- コーポレート
- ライター紹介
- IR
LAC Advisory No.125
脅威度
中
概要
シャープ株式会社が提供するロボット掃除機「COCOROBO」(RX-V200ほか4機種)にはセッション管理不備の脆弱性があります。これにより、第三者にロボット掃除機が乗っ取られる恐れがあります。対象は、同社が不具合対応のためとして11月8日に公開したファームウェアの更新をしていない機器です。
注)ファームウェアとは、コンピュータやデジタル家電などに搭載されている、本体を動かすために必要なソフトウェア(プログラム)のこと。
詳細
本脆弱性は、セッション管理不備に起因するものです。セッションとは、利用者を識別するためのものです。複数の人が同じコンピュータを利用する場合、AさんとBさんが別人であることを識別する必要があります。このとき、コンピュータはAさんとBさんにそれぞれ異なるランダムな文字列(セッションキー)を割り当てます。コンピュータは、この文字列によってAさんとBさんを識別します。本脆弱性は、この識別に不備があり、例えばAさんがBさんになりすましてロボット掃除機を操作できるという問題です。
対象となっているロボット掃除機は、利用を始める際に利用者のスマートフォンとペアリングし、そのスマートフォンからのみ操作できるようにセッションキーを設定していました。しかしセッションキーは、条件が整えば第三者によって簡単に取得されてしまい、第三者が外部からロボット掃除機を自由に操作できてしまうことが分かりました。具体的には、ロボット掃除機を動かす、掃除をさせる、カメラで撮影する、ビデオストリームを送信させるなどです。
ひとたび第三者にセッションキーが取得されると、それを継続して使われる恐れがあります。また、セッションキーがなくてもロボット掃除機が動作してしまう場合があることも判明しています。結果として、第三者による盗撮などによって、ロボット掃除機を利用する人のプライバシーが侵害される恐れがあります。
第三者がセッションキーを盗むためには、ロボット掃除機と同じネットワーク内に第三者自身の機器を設置する必要があります。具体的には以下のようなケースが考えられます。
- 友人、知人などの第三者が、ロボット掃除機と同じWi-Fiを利用できる状況にある。
- Wi-FiにWEPなどの弱い暗号が設定されている、または暗号化の設定そのものを実施していない。
- ロボット掃除機が通信している無線LANルータに直接、有線LANを接続できる状況にある。
このように状況はかなり限られるため、このロボット掃除機が即座に危険な状態になるというわけではありません。ただし、ある特定の人のプライバシーを探りたいと考えるストーカーなどの第三者は、ターゲットとなる人の周囲にすでにいることも多く、放置してよい問題ではありません。
影響を受けるシステム
- RX-V200 ファームウェア バージョン 09.87.17.09 より前のバージョン
- RX-V100 ファームウェア バージョン 03.29.17.09 より前のバージョン
- RX-CLV1-P ファームウェア バージョン 79.17.17.09 より前のバージョン
- RX-CLV2-B ファームウェア バージョン 89.07.17.09 より前のバージョン
- RX-CLV3-N ファームウェア バージョン 91.09.17.10 より前のバージョン
対策
メーカーの指示に従い、ファームウェアをアップデートしてください。
- シャープ株式会社:COCOROBOアップデート
また、本件に限らず、IoT機器が第三者にコントロールされているような兆候を感じた場合は、次のような対応を試みてください。
- 電源を完全に停止した後、再度電源を入れる。
- 工場出荷時の状態に戻す。
- 上記いずれの方法を実施しても変化がなければ、その機器の利用を中止する。
発見者
渥美 清隆(サイバー・グリッド・ジャパン IoT技術研究所)
公表までの経緯
本件は、情報セキュリティ早期警戒パートナーシップに基づき、ラックから独立行政法人 情報処理推進機構(IPA)に報告した後、JPCERTコーディネーションセンターにより開発者との調整が行われました。
CVE番号
ラックではIoTデバイスのセキュリティ診断について、ご相談を受け付けております。お気軽にご相談ください。
より詳しく知るにはこちら
IoT機器のセキュリティ対策が適切であるか、問題の有無を確認するための診断サービスです。各種センサー、通信装置、スマート家電、スマートホーム、医療機器など多種多様なIoT機器を診断対象とします。
この記事をシェアする
タグ
- セキュリティ
- 人材開発・教育
- システム開発
- アプリ開発
- モバイルアプリ
- DX
- AI
- サイバー攻撃
- サイバー犯罪
- 標的型攻撃
- 脆弱性
- 働き方改革
- 企業市民活動
- 攻撃者グループ
- JSOC
- もっと見る +
- JSOC INSIGHT
- サイバー救急センター
- サイバー救急センターレポート
- LAC Security Insight
- セキュリティ診断レポート
- サイバー・グリッド・ジャパン
- CYBER GRID JOURNAL
- CYBER GRID VIEW
- ラックセキュリティアカデミー
- すごうで
- ランサムウェア
- ゼロトラスト
- ASM
- EDR
- SASE
- デジタルアイデンティティ
- インシデントレスポンス
- 情シス向け
- 対談
- CIS Controls
- Tech Crawling
- クラウド
- クラウドインテグレーション
- データベース
- アジャイル開発
- DevSecOps
- OWASP
- CTF
- FalconNest
- セキュリティ診断
- IoT
- EC
- サプライチェーンリスク
- スレットインテリジェンス
- テレワーク
- リモートデスクトップ
- アーキテクト
- プラス・セキュリティ人材
- 障がい者採用
- 官民学・業界連携
- カスタマーストーリー
- 白浜シンポジウム
- CODE BLUE
- 情報モラル
- クラブ活動
- 初心者向け
- 趣味
- カルチャー
- 子育て、生活
- 広報・マーケティング
- コーポレート
- ライター紹介
- IR