ロボット掃除機「COCOROBO」に乗っ取られる脆弱性!? セッション管理不備が発見され対応ファームウェアが公開~第三者に掃除されたり、撮影されたりする可能性
情報システム関連商品の販売およびサービスなどを行なうラックは、同社のサイバー・グリッド・ジャパン IoT技術研究所の渥美清隆氏が、シャープのロボット掃除機「COCOROBO」(RX-V200ほか4機種)に、セッション管理不備の脆弱性があることを発見したと発表。情報セキュリティ早期警戒パートナーシップに基づきIPAに報告し、JPCERT/CCで開発者との調整がされたとしています。
この脆弱性により、第三者にロボット掃除機が乗っ取られる恐れがあり、対象となるのは同社が不具合対応のためとして11月8日に公開したファームウェアの更新をしていない機器。対象機種のユーザーは、最新のファームウェに更新する必要があります。
【影響を受けるシステム】
RX-V200 ファームウェア バージョン 09.87.17.09 より前のバージョン
RX-V100 ファームウェア バージョン 03.29.17.09 より前のバージョン
RX-CLV1-P ファームウェア バージョン 79.17.17.09 より前のバージョン
RX-CLV2-B ファームウェア バージョン 89.07.17.09 より前のバージョン
RX-CLV3-N ファームウェア バージョン 91.09.17.10 より前のバージョン
この脆弱性は、セッション管理不備に起因するもの。複数の人が同じコンピュータを利用する場合、AさんとBさんが別人であることを識別する必要があり、コンピュータはAさんとBさんにそれぞれ異なるランダムな文字列(セッションキー)を割り当てます。今回の脆弱性は、この識別に不備があり、例えばAさんがBさんになりすましてロボット掃除機を操作できるという問題です。
対象となっているロボット掃除機は、利用を始める際に利用者のスマートフォンとペアリングし、そのスマートフォンからのみ操作できるようにセッションキーを設定していましたが、セッションキーは、条件が整えば第三者によって簡単に取得されてしまい、第三者が外部からロボット掃除機を自由に操作できてしまうことが判明。具体的には、ロボット掃除機を動かす、掃除をさせる、カメラで撮影する、ビデオストリームを送信させるなどが行なえます。
ひとたび第三者にセッションキーが取得されると、それを継続して使われる恐れがあり、また、セッションキーがなくてもロボット掃除機が動作してしまう場合があることも判明しているとのこと。結果として、第三者による盗撮などによって、ロボット掃除機を利用する人のプライバシーが侵害される恐れがあるとしています。
なお、第三者がセッションキーを盗むためには、ロボット掃除機と同じネットワーク内に第三者自身の機器を設置する必要があり、具体的には「友人、知人などの第三者が、ロボット掃除機と同じWi-Fiを利用できる状況にある」、「Wi-FiにWEPなどの弱い暗号が設定されている、または暗号化の設定そのものを実施していない」、「ロボット掃除機が通信している無線LANルータに直接、有線LANを接続できる状況にある」といった限られた状況です。
そのため、ロボット掃除機が即座に危険な状態になるというわけではありませんが、渥美氏は「ある特定の人のプライバシーを探りたいと考えるストーカーなどの第三者は、ターゲットとなる人の周囲にすでにいることも多く、放置してよい問題ではありません」としています。