消費者擁護企業 Which? によると、スマートプラグはあなたの家に火をつけ、ハッカーにあなたの個人データを覗き見ることを許す可能性があるという。
Which? は、TP-Link や Hive などのベンダーから、Hictkon、Meross、Ajax Online などの「あまり知られていない」ブランドまで、人気のオンライン小売店やマーケットプレイスから入手可能な 10 個のスマート プラグを購入しました。
読者の皆さんの中にセキュリティに敏感なラッダイト派の方々がご存知の通り、スマートプラグは壁のコンセントに差し込んで家電製品に電気を送る機器です。Amazon Echo DotやGoogle Nestなどの機器と連携し、常時接続の音声監視デバイスに向かって大声で叫ぶだけでデスクランプを消すことができます。現代社会では、セキュリティへの懸念よりも利便性の方がはるかに重要だと考える人が多いようです。
Which? の研究者は、セキュリティコンサルタント会社 NCC グループと協力し、9 つのプラグに 13 の脆弱性を発見しました。そのうち 3 つは「影響度が高い」と評価され、さらに 3 つは「重大」と評価されました。
Which? によると、Amazon で購入した Hictkon スマートプラグ(デュアル USB ポート付き)は、「設計が悪く、通電部がエネルギー監視チップに近すぎる」とのこと。「これにより、2 つの電極間で発生する発光放電であるアークが発生する可能性があり、特に古い配線のある古い住宅では火災の危険があります。」
...設計が悪く、ライブ接続がエネルギー監視チップに近すぎる
Amazonは調査が終了するまでこのスマートプラグの販売を停止したと言われており、Which?は所有者に直ちにプラグを抜くよう促している。
テストされた製品のいくつかには、悪意のある人物がローカルWi-Fiネットワークのパスワードを盗み、「それを利用してプラグや接続されたスマートハブだけでなく、サーモスタット、カメラ、場合によってはノートパソコンなど、他の接続された製品もハッキングできる」重大な脆弱性があるとWhich?は主張している。
こうした懸念は、悪意のある人物が標的の自宅に物理的に近い場所にいて、自宅のSSIDを使って偽のWi-Fiネットワークを構築し、インターネットトラフィックを中間者攻撃で盗聴できる場合、現実的に考えられます。このようなシナリオは不可能ではありませんが、非常に可能性が低いと言えます。しかし、共有オフィスビルでは、この懸念ははるかに大きな意味を持ちます。
別のケースでは、Which? は、攻撃者がプラグと接続されたデバイスへの電力供給を完全に制御できる脆弱性を発見しました。Which? は次のように述べています。「Amazon、Argos、Currysで販売されているTP-Link Kasaにアクセスできれば、攻撃自体は簡単です。ハッキングされたプラグは検知されずにネットワーク上に残り、サイバー犯罪者がユーザーのデータやデバイスにさらなる攻撃を仕掛けるための侵入経路となる可能性があります。TP-Linkは、プラグの設定に使用されたメールアドレスを暗号化されていない状態で潜在的なハッカーと共有しており、フィッシング詐欺に悪用される可能性があります。」
TP-Linkの「スマート」ルーターは、メーカーの言う通り、スマートとは程遠いことが判明。沈黙の後、ゼロデイ脆弱性が発見された。
続きを読む
後者の文は、あなたの電子メール アドレスが暗号化されずに TP-Link のサーバーに送信されることを意味しているようですが、私たちは明確化を求めています。
アマゾンは声明で「安全性は重要」であり、ウェブサイトで販売されている製品に関する懸念については、ユーザーから直接連絡をいただきたいと述べている。「適切な場合には、商品をストアから削除し、販売業者、メーカー、政府機関に連絡して追加情報を入手したり、その他の措置を講じます。」
Hive社は声明で次のように述べている。「当社がこれまでに確認したこと、およびWhich?による検証によれば、機会が小さいこと、顧客とのやり取りが必要であること、デバイスに近づかなければならないことなどから、このシナリオによって顧客が受けるリスクは極めて低い」
TP-Linkは、Kasaスマートプラグのパッチが10月にリリースされる予定だと述べた。MerossはWhich?に対し、自社のパッチリリースには最大6か月かかる可能性があると述べ、Netgearのセキュリティ脆弱性への対応と似た状況となっている。Ajax OnlineはWhich?に回答しておらず、本稿執筆時点でThe Registerにも回答していない。
英国政府は以前、デフォルトパスワードがハードコードされたIoTデバイスの販売を違法とする法律を制定すると約束していました。これらの約束は、メーカーに対し、少なくとも安っぽいIoTの粗悪品を安全に扱うふりをするよう求めるGCHQからの以前の要請に基づいていました。®
