Tenable Research、人気の Blink スマートセキュリティカメラの新しい脆弱性を発見
Tenable Network Security Japan K.K.
この脆弱性を突くと脅威アクターは、Amazon のセキュリティカメラを完全に制御し、個人情報を取得するなど、さらなる攻撃を仕掛けることが可能に
※本リリースは米国で発表されたプレスリリースの抄訳版です。原文は下記URLを参照ください。
https://www.tenable.com/press-releases/tenable-research-finds-new-vulnerabilities-in-popular-blink-smart-security-cameras
サイバー・エクスポージャーを提唱するTenable(R), Inc. (以下テナブル。所在地:メリーランド州コロンビア、代表:Amit Yoran(アミット・ヨーラン))は本日、同社の研究チームにより Amazon の Blink XT2 セキュリティカメラシステムに7件の重大な脆弱性が発見されたことを発表しました。この脆弱性を突くと、攻撃者は影響を受けるデバイスを完全に制御できるようになり、リモートでカメラ映像および音声を傍受するだけでなく、ボットネットで使用するためにデバイスをハイジャックし、分散型サービス拒否 (DDoS) 攻撃、データの盗難、またはスパム送信などを実行することができます。
Strategy Analytics 社の調査によると、2018年には5000万台以上のスマートホームカメラが販売されています。これらのデバイスは、攻撃者が個人情報やホームネットワークにアクセスするための入り口となるおそれがあります。Blink XT2 の脆弱性を突くと、攻撃者は所有者のアカウントに関する機密情報を入手し、保存された写真や動画を表示したり、アカウントからデバイスを追加または削除したり、カメラ通信を完全にブロックしたりできます。
■ Tenable の共同設立者兼最高技術責任者 Renaud Deraison 氏によるコメント
「Blink カメラなどのインターネットに接続されたデバイスはあらゆる場所で使用されているため、サイバー犯罪者たちはこれらのデバイスを攻撃対象としています。IoT デバイスのメーカーは、最終製品にセキュリティ機能を後付けするのではなく、始めから効果的なセキュリティを設計全体に組み込む責任があります。セキュリティカメラの場合、これは特に重要です。この脆弱性の公開に際して Amazon のご協力とタイムリーなパッチ修正のリリースに感謝します。Tenable Research は、すべての人が安全にテクノロジーを使用できるように、エンタープライズおよびコンシューマーテクノロジーにおける脆弱性の特定と開示に継続的に尽力していきます。
IoT デバイスや OT (オペレーショナルテクノロジー) デバイスなどの接続されたデバイスの採用によりアタックサーフェス(攻撃対象領域)が拡大している中、基本的なサイバーセキュリティは最優先事項です。Tenable は最大の脆弱性インテリジェンスナレッジベースおよび、業界最大クラスのセキュリティリサーチチームを構築しています。Tenable セキュリティリサーチチームにより発見されたゼロデイ脆弱性は、 2019年に100件を超えました。同チームは、重要なインフラストラクチャからエンタープライズアプリケーションまで従来の IT 分野を超えた広範な分野における専門知識を活かし、脆弱性の研究に取り組んでいます。Tenable はベンダーおよびセキュリティ業界全体と協力して脆弱なテクノロジーを特定、開示およびパッチし、組織とその顧客より安全に守るべく尽力していきます。」
Amazon はこの脆弱性に対する修正パッチをリリースしています。ユーザーにはデバイスがファームウェアバージョン2.13.11以降に更新されていることを確認することを推薦します。
詳しくは、Tenable Research Medium ブログをご覧ください。
■Tenable について
Tenable(R), Inc. は、Cyber Exposure ソリューションを提供する会社です。世界中の27,000以上の組織がサイバーリスクを正確に把握し、低減するために Tenable を採用しています。Nessus(R) の開発者である Tenable は、脆弱性に対する専門性をさらに広げ、あらゆる情報資産やデバイスの脆弱性を管理、保護できる世界初のセキュリティプラットフォーム「Tenable.io(R)」を展開しています。Tenable のお客様には、Fortune 500の半数以上の企業、Global 2000の25%以上、大規模な政府機関組織などが含まれています。詳しくは、www.tenable.comをご覧ください。