スマート電球のセキュリティリスク

 2023.06.02  三和コムテック

スマート電球の脆弱性により、WiFiネットワークに侵入される可能性があります。
The Dark Side of Smart Lighting: Check Point Research Shows How Business and Home Networks Can Be Hacked from a Lightbulb

米国のセキュリティ・ベンダーCheck Point社による調査では、Philips Hueスマート電球の脆弱性を利用して、標的としたWiFiネットワークにリモートから侵入できるとしています。脆弱性はCVE-2020-6007として登録されています。Zigbee通信プロトコルの実装に問題があり、攻撃によってヒープオーバーフローを起こすことが可能です。

Zigbeeはデバイス同士が低電力でワイヤレス通信するためのプロトコルで、Amazon EchoやSamsung SmartThings、Belkin Wemoなどといった、家電を遠隔操作するためのシステムで広く利用されています。

この脆弱性を衝くことで、ラップトップパソコンとアンテナさえあれば、100メートル離れた場所からでもWiFiネットワークを乗っ取りランサムウェアやスパイウェアを撒くといった攻撃が可能です。脆弱性は「ブリッジ」と呼ばれるコンポーネントにあります。モバイルアプリやAlexaホームアシスタントなどから送信されたコマンドはこのブリッジを経由して、スマートデバイスに送られます。

影響を受けるユーザーに対し脆弱性修正のための時間を確保するため、完全な技術的詳細は非公開ですが、リサーチャーによるデモ動画がアップロードされています。
Hacking Smart Light Bulbs | Latest Research from Check Point

  • スマート電球の別のバグを利用して攻撃者が電球を乗っ取ります。
  • ユーザーの制御アプリで電球にアクセスできなくさせます。
  • ユーザーに制御アプリで電球の最探索をさせます。
  • 攻撃者に乗っ取られた電球がネットワークに再接続されます。
  • 標的ネットワークにつながるブリッジが持つヒープオーバーフロー脆弱性を利用し、マルウェアを仕込みます。
  • 攻撃者はマルウェアを経由してWiFiネットワークに侵入します。

Check Point社のリサーチャーYaniv Balmasは「IoTデバイスがセキュリティリスクになり得る事実は認知されているが、今回のリサーチは、電球のような比較的"スマートでない"デバイスでさえも攻撃に利用される可能性があることを示している」と指摘しています。

この脆弱性は2019年11月の時点でベンダーに報告され、今年1月にファームウェアの修正パッチがリリースされています。

SCT Security Solution Book

RECENT POST「セキュリティ」の最新記事


クレジットカード不正利用額は史上最高値!2024年度被害について考察
セキュリティ

クレジットカード不正利用額は史上最高値!2024年度被害について考察

IPA「情報セキュリティ10大脅威 2025」発表!最新のサイバー攻撃トレンドと対策を解説
セキュリティ

IPA「情報セキュリティ10大脅威 2025」発表!最新のサイバー攻撃トレンドと対策を解説

相次ぐ重要インフラを狙った「DDoS攻撃」根本原因と対策を徹底考察!
セキュリティ

相次ぐ重要インフラを狙った「DDoS攻撃」根本原因と対策を徹底考察!

リアルタイムで脅威をキャッチ!サイバー攻撃可視化ツールの選び方と導入のコツ
セキュリティ

リアルタイムで脅威をキャッチ!サイバー攻撃可視化ツールの選び方と導入のコツ

スマート電球のセキュリティリスク
ブログ無料購読のご案内

おすすめ資料

PAGETOP