マルコム・オーウェン
· 2分で読めます
D-Linkは、コネクテッドホームデバイスを含む自社製品のセキュリティ対策が不十分であるとして連邦取引委員会から非難されている。Appleは、HomeKit認定ハードウェアに安全な認証チップを搭載することでこの脅威に対抗している。
FTCは新たな訴訟で、D-Link社がハッカーによるルーターやIPカメラへのアクセスを阻止するための「適切な措置を講じなかった」ため「数千人の消費者」が危険な立場に置かれたと主張している。
FTCは、ネットワーク機器メーカーが自社のデバイスを「広く知られ、合理的に予見可能な不正アクセスのリスク」から保護するための対策を十分に講じていなかったと主張している。委員会が挙げたリスクのリストには、「少なくとも2007年以降、Open Web Application Security Projectが最も重大かつ広範囲に及ぶウェブアプリケーションの脆弱性として挙げている欠陥」が挙げられている。
この訴訟は、昨年10月に発生した大規模な分散型サービス拒否(DDoS)攻撃を受けて提起されたものです。この攻撃は、安全でないIoTデバイスを悪用したボットネットによって実行され、多くの著名なウェブサイトやサービスが影響を受けました。デフォルトの管理者ログイン情報を変更せずに使用していたハードウェアが標的となり、マルウェアがインストールされ、遠隔操作されて攻撃に利用されました。
FTCによるD-Linkに対する訴訟は、2016年に安価なIoTデバイスを利用したボットネット攻撃によってインターネットの大部分がダウンしたことを受けて提起された。AppleのHomeKitはエンドツーエンドの暗号化により、この攻撃の影響を受けなかった。
この攻撃は、AppleのHomeKitフレームワークがコネクテッドデバイスにもたらすメリットを浮き彫りにしました。HomeKitは、エンドツーエンドの暗号化、MFi認証、その他の技術を組み合わせてネットワークデバイス間の通信を安全に保ち、フレームワーク自体を介したデバイスへの攻撃を極めて困難にしています。
FTCは訴状の中で、D-Linkには「周知かつ容易に予防可能なソフトウェアセキュリティ上の欠陥」が存在し、その悪用を防ぐためのソフトウェアのテストと修正が繰り返し行われていなかったと主張している。申し立てられている問題には、「ハードコードされた」ユーザー認証情報を使用するソフトウェア、コマンドインジェクションの脆弱性、その他のバックドアに対する脆弱性などが含まれる。
D-Link 社はソフトウェアの署名に使用した秘密鍵を安全に保管しておらず、その取り扱いの不備により「約 6 か月間、公開 Web サイトで秘密鍵が公開された」状態になったことも指摘されている。
セキュリティ上の欠陥は、D-LinkがスマートフォンやタブレットからIPカメラやルーターにアクセス・管理するために提供しているモバイルアプリにも及んでいました。FTCは、D-Linkが「少なくとも2008年から利用可能なフリーソフトウェア」を使用してアプリのログイン認証情報を保護せず、モバイルデバイスに簡単に読み取れる平文で認証情報を保存していたと主張しています。
D-Linkの最高情報セキュリティ責任者ウィリアム・ブラウン氏は声明の中で、同社は「訴状に記載された申し立てを否定する」とThe Vergeに語り、自らを弁護するつもりだと述べた。
FTC が訴状で提起した問題は、「モノのインターネット」市場でメーカーが直面している課題と、そのような接続デバイスのセキュリティを維持することの重要性を浮き彫りにしています。
先週、D-Link は IP ベースのセキュリティ カメラ製品群に HomeKit を採用し始めると発表しました。互換性を持つ最初の製品は Omna 180 Cam HD です。
