数百万人が無料で洗濯できるようになるランドリーサービスのセキュリティバグを大学生が発見

世界中の住宅や大学のキャンパスなどでインターネットに接続されたランドリーサービスを提供しているCSC ServiceWorksについて、同社のサービスには洗濯料金を誰でも回避することができるセキュリティバグが存在すると指摘されています。バグの存在は2024年初頭にCSC ServiceWorksに報告されていますが、同社はバグの修正を怠っており、記事作成時点でもバグは修正されないままです。

Two Santa Cruz students uncover security bug that could let millions do their laundry for free | TechCrunch
https://techcrunch.com/2024/05/17/csc-serviceworks-free-laundry-million-machines/

CSC ServiceWorksはアメリカ・カナダ・ヨーロッパのホテルや大学、住宅などに設置されている100万台超の洗濯機ネットワークを有する大手ランドリーサービス企業です。そんなCSC ServiceWorksのランドリーサービスにバグが存在することを、カリフォルニア大学サンタクルーズ校の学生であるアレクサンダー・シャーブルック氏とヤコフ・タラネンコ氏が発見しています。このバグを悪用すると、誰でもCSC ServiceWorksの洗濯機にリモートからコマンドを送信して、無料で洗濯機を動かすことが可能になるそうです。

シャーブルック氏とタラネンコ氏によると、バグはCSC ServiceWorksのランドリーサービスを利用する際に使用する専用モバイルアプリのCSC GOが洗濯機とインターネット経由で相互通信できるようにするに使用されるAPIに存在するそうです。CSC GOアプリ使用時のネットワークトラフィックを分析することで、アプリのセキュリティチェックを回避し、アプリ自体では利用できないコマンドをサーバーに直接送信できることができるバグを発見しています。

シャーブルック氏らによると、CSC GOアプリはセキュリティチェックをデバイス上のアプリで行い、サーバー側はこれを自動で信頼するだけであるため、サーバー側をだましてアカウントの残高を変更するようなコマンドを送信することが簡単にできてしまう模様。

シャーブルック氏はこのバグを利用することで、「CSC ServiceWorksのランドリーサービス用アカウントの残高が0でも洗濯機を動かすことができるコード」を作成することに成功。他にも、同じバグを活用することでCSC ServiceWorksのランドリーサービス用アカウントに不正に資金を追加することにも成功しています。

シャーブルック氏とタラネンコ氏はCSC ServiceWorksにバグを報告しようとしたそうですが、同社はセキュリティ上の脆弱(ぜいじゃく)性を報告するためのページを保有していなかったため、同社のオンライン問い合わせフォームからバグについての連絡を数回送ることになったそうです。ただし、CSC ServiceWorksからは何の返答も得られなかったため、2人はCSC ServiceWorksに直接電話をかけてバグについて報告しようとしたそうです、この連絡もつながらなかった模様。そのため、最終的にシャーブルック氏とタラネンコ氏はカーネギーメロン大学のCERTコーディネーションセンター経由でCSC ServiceWorksにバグを報告。しかし、記事作成時点でCSC ServiceWorksは問題のバグを修正していません。

シャーブルック氏によると、CSC ServiceWorksのサーバーは新規ユーザーのメールアドレスがすでに使用されているものであるかどうかすらもチェックしないそうです。そのため、潜在的に誰でもCSC GOのユーザーアカウントを作成することが可能で、APIを使用してコマンドを送信することができると指摘。実際、シャーブルック氏らは架空のメールアドレスを使って新しいCSC GO用のアカウントを作成するなどしています。

タラネンコ氏は「これほど大きな会社がなぜこのようなミスを犯しているのか、そして問題について連絡する手段を用意していないのか理解できません。最悪のシナリオは、アカウントに不正に資金を補充することで、会社が多額の損失を被ることです。この種の状況に備え、最低限の費用をかけてセキュリティ用のメール受け付けを開設してみてはいかがでしょうか」と語りました。

なお、同バグを用いてCSC ServiceWorksのランドリーサービスを使って無料で洗濯を行う際の最大の障壁は、「洗濯機の電源を物理的に押す必要がある」という点にあるそうです。