エフセキュア、KeyWe社製スマートロックの脆弱性について警告

先進的サイバー・セキュリティ・テクノロジーのプロバイダであるF-Secure (本社: フィンランド・ヘルシンキ、CEO: Samu Konttinen、日本法人: 東京都港区、以下、エフセキュア) は、攻撃者が簡単にピッキングできるスマートロックの設計上の脆弱性を、同社のセキュリティコンサルティング部門であるF-Secure Consultingが発見したと発表しました。ファームウェアの更新ができないIoTデバイスがその脆弱性を完全に修正できない場合、そうしたデバイスがインターネットに接続される際に、デバイスメーカーやユーザに対して大きな問題をもたらすこととなります。

KeyWe社が市場で展開しているKeyWe Smart Lockは、主に個人の住宅で使用されるリモート制御のエントリデバイスであり、ユーザはスマートフォンのアプリでドアの開閉ができます。F-Secure Consultingは、通信プロトコルの設計における脆弱性により、物理デバイスとモバイルアプリの間で交換されるロックを制御する秘密のパスワードが傍受されてしまうことを発見しました。

今回の脆弱性発見に関わったエフセキュアのサイバーセキュリティコンサルタントであるKrzysztof Marciniak (クリストフ・マーシニアック) は述べています。 「スマートロックにはいくつかの保護メカニズムがありますが、設計上の不備により、これらのメカニズムをバイパスして、ロックとアプリとの間で交換されるメッセージを攻撃者が簡単に傍受でき、比較的単純と言える攻撃に対して脆弱な状態となります。しかし、これを防御する方法はないのです。そのため、スマートロックで保護された住居に簡単に侵入することができてしまいます。何度も、簡単にです。攻撃者にとって必要なのは、わずかなノウハウ、家電量販店でたった10ドルで購入できるトラフィックをキャプチャするためのデバイス、そして誰がこのスマートロックを使用しているかを見つけるためのほんの少しの時間です。」

多くのIoTデバイスが市場に出回っているなか、これはメーカーとユーザが直面しているセキュリティ上の問題の一つに過ぎません。最近のリサーチでは、2025年までに推定1,250億台のデバイスがインターネットに接続されるだろうと考えられています。*1  IoTデバイスの普及に伴い、より多くのセキュリティ上の懸念が浮上してきます。 *1   https://www.techradar.com/news/rise-of-the-internet-of-things-iot

スマートロックには通常、権限を持たない第三者が秘密のパスワードなどのシステム上の重要な情報にアクセスすることを防ぐためのデータ暗号化など、いくつかの便利なセキュリティ機能が搭載されています。しかし、F-Secure Consultingは、このKeyWe社製スマートロックのセキュリティ対策を回避できてしまう、比較的簡単な方法を発見しました。そして、デバイスがファームウェアの更新を受信できないため、見つかった脆弱性を修正することはできません。スマートロックのユーザはロックそのものを交換するか、侵入されるリスクに耐えるかを選択しなければなりません。

Marciniakは、セキュリティは正しく実装された場合にのみ機能すると指摘しています。これは、全てのIoTデバイスメーカーが理解する必要がある、重要かつ微妙な点です。 「全てのデバイスや企業に共通して保護を提供する『フリーサイズ』のセキュリティサービスなどありません。ユーザ、使用環境、潜在的脅威モデルなど様々な要素を考慮して導入する必要があります。これを実行するのは簡単ではありませんが、IoTデバイスメーカーがファームウェアの更新ができない製品を出荷する場合、設計段階からセキュリティについて意識する必要があります。」

Marciniakはまた、元々オフラインデバイスだったものをオンラインバージョンに置き換える前に、インターネット接続におけるセキュリティの懸念に広く消費者に認識してもらうことと、デバイスメーカーが設計の一環として製品のセキュリティ評価を実施することを強く勧めています。

今回発見したKeyWe社製スマートロックの具体的な脆弱性にはユーザが実行できる対策がなく、また、攻撃者が簡単にその脆弱性を利用できてしまうため、エフセキュアでは重要な技術的詳細の発表を差し控えることとしました。ただし、詳細情報を含むアドバイザリーとブログ投稿はF-Secure Labsページに掲載しています。また、デバイスメーカー向けの追加のサポートとサービスは、F-Secure Consultingページよりご覧いただけます。F-Secure Consultingは4大陸11ヶ国に拠点を構え、銀行、金融サービス、航空、海運、小売、保険、その他セキュリティがクリティカルとなる分野において、高度なサイバーセキュリティコンサルティングサービスを提供しています。

KeyWe社製スマートロックに関するアドバイザリー (英語) https://labs.f-secure.com/advisories/keywe-smart-lock-unauthorized-access-traffic-interception * 日本語版アドバイザリーは本メール文末のファイルをご覧ください。

F-Secure Labs: https://labs.f-secure.com/ F-Secure Consulting: https://www.f-secure.com/en/consulting

エフセキュアについて

エフセキュアほどサイバーセキュリティを熟知している企業は市場に存在しません。1988年の設立以来、エフセキュアは30年以上にわたりサイバーセキュリティの技術革新を牽引し、数千社の企業と数百万人のユーザーを守ってきました。エンドポイントの保護と脅威の検出・対応において他企業を圧倒する実績を持つエフセキュアは、巧妙なサイバー攻撃やデータ侵害からランサムウェアの感染の蔓延までを含む、あらゆる脅威から企業と個人ユーザーを保護します。エフセキュアの先進テクノロジーは、機械学習の力と世界的に有名なセキュリティラボのエキスパートの持つ専門知識を組み合わせた、『Live Security』と呼ばれる独特のアプローチに基づくものです。ヨーロッパにおいて、エフセキュアは他のどのセキュリティ関連企業よりも多くのサイバー犯罪捜査に携わっています。エフセキュア製品は全世界200社以上のブロードバンド/モバイル事業者と数千社にのぼるセールスパートナーを通じて販売されています。


エフセキュアは本社をフィンランド・ヘルシンキに、日本法人であるエフセキュア株式会社を東京都港区に置いています。また、NASDAQ ヘルシンキに上場しています。Twitter @FSECUREBLOG でも情報の配信をおこなっています。

f-secure.coom | twitter.com/fsecure | linkedin.com/f-secure

本件に関する報道関係者からのお問合せ先

秦 和哉 (Kazuya HATA)

PR Manager, Japan

+81 3 4578 7745
japan-pr@f-secure.com

プレス登録

F-Secureからのリリース配信をご希望の方は、こちらからご登録ください。

お客様の個人データは、当社の法人向けビジネス プライバシー ポリシーに従って処理されます。