株式会社ラック

トップレベルのセキュリティ技術を駆使した
ITトータルソリューションで、未来をきり拓く

セキュリティ事故発生時はこちら

情報を守り、未来を創造するパイオニアとしての信頼と自信で、もっと先へ

最高峰のセキュリティサービスと、ITトータルソリューションを提供します。

閉じる

ご相談は予約不要、24時間対応

緊急対応窓口:サイバー救急センター®

セキュリティに係るお客様の緊急事態に際し迅速にお客様をご支援する緊急対応サービスです。
緊急事態が発生したら今すぐ「サイバー救急センター」にご相談ください。

電話で相談する

メールで相談する

サイバー救急センター®のメールアドレス

自分で調べる

ご相談は予約不要、24時間対応

緊急対応窓口:サイバー救急センター®

セキュリティ事故発生時はすぐにご連絡ください

LAC WATCH
2017年11月17日 | 注意喚起

ロボット掃除機 COCOROBO におけるセッション管理不備の脆弱性(JVN#76382932)

LAC Advisory No.125

脅威度

概要

シャープ株式会社が提供するロボット掃除機「COCOROBO」(RX-V200ほか4機種)にはセッション管理不備の脆弱性があります。これにより、第三者にロボット掃除機が乗っ取られる恐れがあります。対象は、同社が不具合対応のためとして11月8日に公開したファームウェアの更新をしていない機器です。

注)ファームウェアとは、コンピュータやデジタル家電などに搭載されている、本体を動かすために必要なソフトウェア(プログラム)のこと。

詳細

本脆弱性は、セッション管理不備に起因するものです。セッションとは、利用者を識別するためのものです。複数の人が同じコンピュータを利用する場合、AさんとBさんが別人であることを識別する必要があります。このとき、コンピュータはAさんとBさんにそれぞれ異なるランダムな文字列(セッションキー)を割り当てます。コンピュータは、この文字列によってAさんとBさんを識別します。本脆弱性は、この識別に不備があり、例えばAさんがBさんになりすましてロボット掃除機を操作できるという問題です。

対象となっているロボット掃除機は、利用を始める際に利用者のスマートフォンとペアリングし、そのスマートフォンからのみ操作できるようにセッションキーを設定していました。しかしセッションキーは、条件が整えば第三者によって簡単に取得されてしまい、第三者が外部からロボット掃除機を自由に操作できてしまうことが分かりました。具体的には、ロボット掃除機を動かす、掃除をさせる、カメラで撮影する、ビデオストリームを送信させるなどです。

ひとたび第三者にセッションキーが取得されると、それを継続して使われる恐れがあります。また、セッションキーがなくてもロボット掃除機が動作してしまう場合があることも判明しています。結果として、第三者による盗撮などによって、ロボット掃除機を利用する人のプライバシーが侵害される恐れがあります。

第三者がセッションキーを盗むためには、ロボット掃除機と同じネットワーク内に第三者自身の機器を設置する必要があります。具体的には以下のようなケースが考えられます。

  • 友人、知人などの第三者が、ロボット掃除機と同じWi-Fiを利用できる状況にある。
  • Wi-FiにWEPなどの弱い暗号が設定されている、または暗号化の設定そのものを実施していない。
  • ロボット掃除機が通信している無線LANルータに直接、有線LANを接続できる状況にある。

このように状況はかなり限られるため、このロボット掃除機が即座に危険な状態になるというわけではありません。ただし、ある特定の人のプライバシーを探りたいと考えるストーカーなどの第三者は、ターゲットとなる人の周囲にすでにいることも多く、放置してよい問題ではありません。

影響を受けるシステム

  • RX-V200 ファームウェア バージョン 09.87.17.09 より前のバージョン
  • RX-V100 ファームウェア バージョン 03.29.17.09 より前のバージョン
  • RX-CLV1-P ファームウェア バージョン 79.17.17.09 より前のバージョン
  • RX-CLV2-B ファームウェア バージョン 89.07.17.09 より前のバージョン
  • RX-CLV3-N ファームウェア バージョン 91.09.17.10 より前のバージョン

対策

メーカーの指示に従い、ファームウェアをアップデートしてください。

また、本件に限らず、IoT機器が第三者にコントロールされているような兆候を感じた場合は、次のような対応を試みてください。

  • 電源を完全に停止した後、再度電源を入れる。
  • 工場出荷時の状態に戻す。
  • 上記いずれの方法を実施しても変化がなければ、その機器の利用を中止する。

発見者

渥美 清隆(サイバー・グリッド・ジャパン IoT技術研究所)

公表までの経緯

本件は、情報セキュリティ早期警戒パートナーシップに基づき、ラックから独立行政法人 情報処理推進機構(IPA)に報告した後、JPCERTコーディネーションセンターにより開発者との調整が行われました。

CVE番号

CVE-2017-10890


ラックではIoTデバイスのセキュリティ診断について、ご相談を受け付けております。お気軽にご相談ください。

より詳しく知るにはこちら

より詳しく知るにはこちら

IoT機器のセキュリティ対策が適切であるか、問題の有無を確認するための診断サービスです。各種センサー、通信装置、スマート家電、スマートホーム、医療機器など多種多様なIoT機器を診断対象とします。

この記事は役に立ちましたか?

はい いいえ

サイバーセキュリティに関する
様々な情報をお届けします

メルマガでは、より厳選した情報を
月に2〜3回配信しています
詳しくはこちら

page top