エフセキュア、KEYWE社製スマートロックの脆弱性について警告

増加するIoTデバイスにおいて、「スマート」と「セキュア」の両立は困難

 

 先進的サイバー・セキュリティ・テクノロジーのプロバイダであるF-Secure(本社:フィンランド・ヘルシンキ、CEO:Samu Konttinen、日本法人:東京都港区、以下、エフセキュア)は、攻撃者が簡単にピッキングできるスマートロックの設計上の脆弱性を、同社のセキュリティコンサルティング部門であるF-Secure Consultingが発見したと発表しました。ファームウェアの更新ができないIoTデバイスがその脆弱性を完全に修正できない場合、そうしたデバイスがインターネットに接続される際に、デバイスメーカーやユーザに対して大きな問題をもたらすこととなります。

 KeyWe社が市場で展開しているKeyWe Smart Lockは、主に個人の住宅で使用されるリモート制御のエントリデバイスであり、ユーザはスマートフォンのアプリでドアの開閉ができます。F-Secure Consultingは、通信プロトコルの設計における脆弱性により、物理デバイスとモバイルアプリの間で交換されるロックを制御する秘密のパスワードが傍受されてしまうことを発見しました。

 ※参考画像は添付の関連資料を参照

 今回の脆弱性発見に関わったエフセキュアのサイバーセキュリティコンサルタントであるKrzysztof Marciniak(クリストフ・マーシニアック)は述べています。

 「スマートロックにはいくつかの保護メカニズムがありますが、設計上の不備により、これらのメカニズムをバイパスして、ロックとアプリとの間で交換されるメッセージを攻撃者が簡単に傍受でき、比較的単純と言える攻撃に対して脆弱な状態となります。しかし、これを防御する方法はないのです。そのため、スマートロックで保護された住居に簡単に侵入することができてしまいます。何度も、簡単にです。攻撃者にとって必要なのは、わずかなノウハウ、家電量販店でたった10ドルで購入できるトラフィックをキャプチャするためのデバイス、そして誰がこのスマートロックを使用しているかを見つけるためのほんの少しの時間です。」

 多くのIoTデバイスが市場に出回っているなか、これはメーカーとユーザが直面しているセキュリティ上の問題の一つに過ぎません。最近のリサーチでは、2025年までに推定1,250億台のデバイスがインターネットに接続されるだろうと考えられています。(*1)IoTデバイスの普及に伴い、より多くのセキュリティ上の懸念が浮上してきます。

 *1 https://www.techradar.com/news/rise-of-the-internet-of-things-iot

 ※以下は添付リリースを参照

・KeyWe社製スマートロックに関するアドバイザリー

 ※添付の関連資料を参照

 

 

リリース本文中の「関連資料」は、こちらのURLからご覧ください。

参考画像

https://release.nikkei.co.jp/attach_file/0525235_01.png

添付リリース

https://release.nikkei.co.jp/attach_file/0525235_02.pdf

・KeyWe社製スマートロックに関するアドバイザリー

https://release.nikkei.co.jp/attach_file/0525235_03.pdf