Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

偽装サンタに要注意

スマートホームの落とし穴は、もしかするとお子さんにトラウマを与えてしまうかも知れません。

www.cnn.co.jp

 

(CNN) 米ミシシッピ州の一家が子ども部屋に設置していた防犯カメラに何者かが不正アクセスし、スピーカー機能を使って8歳の女の子に「サンタクロースだよ」などと話しかける事件があった。

不正アクセスされた防犯カメラの「リング」をめぐっては、ユーザーが知らないうちにアカウントに不正ログインされる事案が相次いでいる。

 

(中略)

娘のアリッサさんは、自分の部屋から物音が聞こえるのに気づき、様子を見に行ったという。

WMCが入手したリングのカメラ映像には、部屋の中に立ったアリッサさんが、スピーカーの相手と話す様子が映っている。

アリッサさんが「誰なの」と尋ねると、「僕は君の親友だよ。サンタクロースだよ」と答える男の声が部屋の中に響き渡った。「僕はサンタクロースだよ。僕の親友になりたくない?」

 

(CNN記事より引用)

 

◆キタきつねの所感

動画を見るとなかなか衝撃的です。8歳の女の子だけでなく同じ目にあったら二度とスマートカメラは使いたくないと思う方は多いのではないでしょうか。

www.youtube.com

 

ringという(侵害を受けた)会社のサービスは、複数の防犯カメラ・スマートカメラを安価なパッケージで提供する会社で、人感センサー付きのカメラや双方向で会話が出来るカメラ等を組み合わせる事で、「セキュリティ」も売り物にしています

f:id:foxcafelate:20191214071404p:plain

 

車泥棒に対しては、防犯カメラ映像で録画するだけでなく、カメラが動作(人感検知)したら通知してくれ、(間に合えば)スピーカーから警告音声を出す事もできます。こうした部分は警備会社の提供しているプロのサービスと同じと言え、国土の広い米国ではユーザも多い様です。

f:id:foxcafelate:20191214071512p:plain

スマホ等で外から映像チェックをする際にも、検知した時間帯のみを探しやすい機能なども使い勝手が良さそうな気がします。

f:id:foxcafelate:20191214071216p:plain

 

ringもセキュリティを売りの1つにしていた様で、日本の警備会社が玄関や窓に貼るステッカーではなく、家の外に置く看板も販売しています。(泥棒除けですね)

ソーラーセキュリティサイン

 

 

しかし、何故今回、8歳の子供が偽サンタクロースに襲われたか?という点では、セキュリティを売りにしていた会社とは思えない認証実装だったからな気がします。

 

スマホアプリは確認してませんが、ringの個別カメラへのアクセスについては・・・IDとパスワードでしか守られていません。トップページにログインの入り口があるので、、、ここが突破できれば、管理者権限の窃取が成功した事になります。

f:id:foxcafelate:20191214065125p:plain

 

オプションサービスも調べてみたのですが、、、人感センサーでの不審検知の通知等のセキュリティオプションは見つかるのですが、、、肝心の不正ログイン検知については何も見つかりません

 

f:id:foxcafelate:20191214070155p:plain

 

 

因みに、ringは今回の事件については、自社のセキュリティ対策のせいではなく、ユーザ側の問題とコメントしています。

リング社はCNNに寄せた声明で、同社のセキュリティ対策が破られたわけではないと強調し、被害に遭った一家はアカウントの安全対策が不十分だった問題を突かれたようだと説明した。

同社によると、ユーザーは同じユーザー名とパスワードを別のアカウントやサービスで使い回していることがあり、そうした情報が悪用されて、防犯カメラに不正アクセスされることがあるという。

こうした被害を防ぐために同社は、2段階認証を設定し、破られにくいパスワードを使うことなどを勧告している。

リングの防犯カメラをめぐっては、過去1週間の間に同じような事案が少なくとも3件報告されている。

(CNN記事より引用)

 

パスワードの使い回しを、ユーザ側がきちんと対策しなかったから発生したという意図でのコメントだと思いますが、Web画面上には「2段階認証」オプションがある事は伺えませんでしたので、、、スマホはともかく、Web側はIDとパスワードしか機能提供してなかった可能性が高いかと思います。

 

※12/17PM追記 KK様よりコメントを頂きました。スマホアプリだとSMSの2段階に認証がオプション選択できる様です。(Webはそうした運用になっているかは不明)

 

この脆弱な認証部分は、ハッカーの攻撃対象になりやすい事が推測されますので、(セキュリティ)サービス提供会社側に問題があったと言えるのではないでしょうか?

 

※ここを対策するとすると、、、FIDO2等の実装が一番良いかと思います

www.slideshare.net

 

 

本日もご来訪ありがとうございました。

 

 

日本人のためのパスワード2.0   ※JPAC様 ホームページ

7/8に日本プライバシー認証機構(JPAC)様からホワイトレポートをリリースしました。キタきつねとしての初執筆文章となります。「パスワードリスト攻撃」対策の参考として、ご一読頂ければ幸いです。

 

  黒いサンタクロースのイラスト



 

更新履歴

  • 2019年12月14日AM(予約投稿)