スマホから留守中でも応対可能なスマートドアベルで「セキュリティに欠陥のあるモデル」が出回っている

外出中でもスマートフォンから来訪者に応対したり、玄関先の様子を監視したりできる「スマートドアベル」で、AmazonやeBayなどのeコマースサイトで取り扱われているモデルの一部に「接続しているワイヤレスネットワークに侵入される脆弱性」があると判明したことが報じられています。

The smart video doorbells letting hackers into your home – Which? News
https://www.which.co.uk/news/2020/11/the-smart-video-doorbells-letting-hackers-into-your-home/

'Smart' doorbells for sale on Amazon, eBay came stocked with security vulnerabilities
https://www.cyberscoop.com/smart-doorbells-amazon-ebay-ncc-vulnerabilities/

イギリスのセキュリティ企業「NCC Group」と消費者保護団体「Which？」の報告によれば、AmazonやeBayなどで取り扱われているスマートドアベル11種類に「KRACKに対する脆弱性」「データ暗号化の欠如」「過剰なデータ収集」「脆弱なパスワードポリシー」が見つかったとのこと。

例えば、Amazonで1000件を超えるレビューで5段階中4.3という高得点を獲得しているスマートドアベル「Victure VD300」は、ユーザーが使っているWi-FiのSSIDとパスワードを平文のままで中国のサーバーに送信していることがわかりました。

NCC Groupの研究者によれば、AmazonではVicture VD300とほぼ同じ見た目の模造品が販売されており、この模倣品もVicture VD300とまったく同じ脆弱性を抱えていたとのこと。

また、Qihoo 360D819というスマートドアベルは、ドアや壁に取り付けても、SIMカードを取り出すために使う道具を使えば簡単に取外し可能だったとのこと。そのため、ドアベルそのものを盗み、リセットして転売することもできたとWhich？は述べています。さらにQihoo 360D819では、録音が暗号化されずに保存されるため、セキュリティ上の安全性が低いそうです。

こうした脆弱性を抱えるスマートドアベルはどれも無名のベンダーによって製造されたものでしたが、どれもがレビューで高評価を獲得しており、AmazonやeBayでは「よく売れている商品」としてピックアップされていたとのこと。研究チームは、一部のスマートドアベルが、ドアベルのカメラで撮影した音声や映像、位置情報などの機密データを、安全性の低いサーバーに保存しているのではないかと懸念しています。

Which？はセキュリティに欠陥のあるスマートドアベルを買わないために、以下の5つを心掛けるよう呼びかけています。

1：聞いたことも見たこともないブランドの製品を買う際には必ずブランド名で検索して調査する。
2：レビューが本当かどうかを確認する。
3：パスワードを定期的に変更する。
4：ファームウェアやOSは常に最新のものにアップデートする。
5：二要素認証を設定してセキュリティレベルを上げる