8300万台以上のIoT機器が影響を受ける脆弱性が発見される、防犯カメラの映像を盗み取られる可能性も

遠く離れた場所からでも室内の様子を確認できるネットワークカメラが広く普及していますが、ネットワークカメラには、サイバー攻撃によって撮影した映像を盗み取られてしまうリスクが存在しています。そんな中、セキュリティ企業のMandiantが世界中に存在するネットワークカメラを含む8300万台以上のIoTデバイスが影響を受ける脆弱(ぜいじゃく)性「CVE-2021-28372」の存在を発表しました。この脆弱性が悪用されると、ユーザーはネットワークカメラの映像を盗み取られたり、家庭内の機器に不正アクセスされる可能性があるとのことです。

ThroughTek Kalay P2P SDK | CISA
https://us-cert.cisa.gov/ics/advisories/icsa-21-229-01

NVD - CVE-2021-28372
https://nvd.nist.gov/vuln/detail/CVE-2021-28372

Mandiant Discloses Critical Vulnerability Affecting Millions of IoT Devices | FireEye Inc
https://www.fireeye.com/blog/threat-research/2021/08/mandiant-discloses-critical-vulnerability-affecting-iot-devices.html

今回Mandiantが発見した脆弱性は、IoT機器の開発を行うThroughTekが展開している「Kalay プラットフォーム」に存在しています。ThroughTekによると、Kalayの機器は全世界で8300万台以上使われているとのこと。この中には赤ちゃん用監視カメラや防犯カメラなどのネットワークカメラが含まれており、Mandiantは脆弱性を悪用することでこれらの映像が盗み取られる危険性があると警告しています。

Mandiantは、今回発見された脆弱性の悪用によって想定される攻撃を以下のように解説しています。まず攻撃を受けていない状態では、ユーザーはスマートフォンなどのデバイスから自らが所有するカメラの固有IDをKalayのサーバーに問い合わせて、サーバーに保存された映像を閲覧することができます。

しかし、攻撃者が脆弱性を悪用すると、攻撃対象のネットワークカメラの固有IDを乗っ取ることが可能になります。この状態でネットワークカメラのユーザーがKalayのサーバーに映像の閲覧を要求すると、映像データが正しいユーザーではなく攻撃者に送信されてしまうとのこと。

さらに、攻撃者がKalayのネットワークに存在する別の脆弱性を利用した場合、ネットワークを介して攻撃対象デバイスに直接アクセスすることも可能になるとMandiantは指摘しています。

Mandiantは今回発見した脆弱性をアメリカ合衆国国土安全保障省のサイバーセキュリティ・インフラストラクチャ・セキュリティ庁(CISA)に報告しました。CISAは脆弱性に追跡番号「CVE-2021-28372」を付与し、ユーザーに対してネットワークカメラのオンライン接続を最小限に抑えるように求めています。

また、Mandiantは脆弱性をThroughTekにも報告しており、ThroughTekは脆弱性を修正したSDKを開発しています。MandiantとThroughTekはKalayのSDKを採用しているIoT機器メーカーに対して、SDKを脆弱性が修正されたバージョンにアップデートするように求めています。