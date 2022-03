2022年03月31日 19時00分 セキュリティ

セキュリティカメラのWyze Camに3年間誰でもアクセス可能だった脆弱性があったことが明らかに

セキュリティカメラメーカーのWyze製のカメラに、インターネット経由でアクセス可能な状態になる脆弱(ぜいじゃく)性、さらにリモート実行が可能になる脆弱性があったことが2022年3月に明らかとなりました。これらの脆弱性は2019年に発見されたもので記事作成時点ではすでに対応済みとのことですが、古いモデルについてはサポートが終了しているために修正できず、脆弱性を発見したセキュリティ企業は該当するカメラの使用を中止するように訴えています。



Wyzeのカメラにある脆弱性は2019年に、ルーマニアのセキュリティ企業・Bitdefenderの研究者によって発見されました。この脆弱性は、WyzeのセキュリティカメラにSDカードを挿入すると、そのシンボリックリンクが、アクセス制限のないwwwディレクトリに自動的に作成されるというもの。つまり、ウェブサーバーを介して誰でもSDカードに保存された映像や画像、音声にアクセスできるということになります。



さらに、SDカードにはデバイスのログファイルも保存され、UID(デバイスの識別番号)と暗号化キーが含まれています。これに外部からアクセスできるため、リモート実行の脆弱性も存在しました。



誰でもアクセスできてしまう脆弱性は「CVE-2019-9564」として、2019年9月24日のセキュリティアップデートで対処されました。またリモート実行の脆弱性は「CVE-2019-12266」として、2020年11月9日のアップデートで修正されました。そして、数々の脆弱性の原因となったSDカードの取扱いについては、2022年1月29日に配信されたファームウェア更新で修正されました。





しかし、一連のセキュリティアップデートは、2018年2月と2020年10月にリリースされたWyze Cam v2とv3でのみ利用可能であり、2017年8月にリリースされたWyze Cam v1では利用できませんでした。Wyze Cam v1は2020年にサポートが終了し、Wyzeは問題を修正していなかったので、Wyze Cam v1ではリモート実行の脆弱性が永久に未修正のまま残されることになります。なお、Wyze Cam v1は脆弱性について明らかにされる以前の2022年1月に生産中止が発表されました。



脆弱性を発見したBitdefenderは「ベンダー側のロジスティックおよびハードウェアの制限により、Wyze Camのv1は廃止が促されています。このハードウェアの使用をできるだけ早く中止することをおすすめします」と述べています。



これについて、Wyzeはセキュリティリスクをユーザーに説明せず「2022年2月1日以降もWyze Cam v1を継続して使用することは、リスクが高まるため、Wyzeは推奨しておらず、完全に自己責任となります」というメールをユーザーに送信したとのこと。





IT系ニュースサイト・The Vergeの記者でWyze Cam v1を使っていたというショーン・ホリスター氏は「『リスクが高まる』という言葉は、普通は将来のセキュリティアップデートのことを示すもので、すでに明らかになっている重大な脆弱性のこととは思わないでしょう」と述べています。



またホリスター氏は、Bitdefenderが発見した脆弱性の内容をWyzeがユーザーに明らかにしなかっただけではなく、Bitdefenderもその内容を3年近く発表していなかったことは異常だと批判しています。確かにベンダーが修正パッチを提供する前に調査結果を公表することはセキュリティリスクが高いものの、通常はベンダーに連絡してから1~2カ月という公開期日を定めることが多いとのこと。





このことについてBitdefenderは、「私たちは通常最大90日の猶予期間を設けますが、私たちの発見した脆弱性は非常に深刻で、Wyzeの認識と緩和なしにこのレポートを公開することは潜在的に数百万人のユーザーに未知の影響を与えることになると判断しました」と答えています。



ホリスター氏は「もしこれらの脆弱性が、2022年1月にWyze Cam v1を生産中止に至らしめるほど悪いものであれば、ユーザーは2019年の時点でそれを知っておくべきでした」と述べ、これまで使っていたWyze Cam v1を即廃棄したことを明らかにし、「二度とWyzeの製品は使わない」と怒りを露わにしました。