マルコム・オーウェン
· 2分で読めます
Philips Hue スマート電球の所有者は、Zigbee 経由でアクセサリが相互に通信する方法に脆弱性があり、攻撃者がホームネットワーク全体を制御できる可能性があることが公開されたことを受けて、ファームウェアを確認するよう強く求められています。
Check Pointのセキュリティ研究者によって発見されたこの脆弱性は、Philips Hue電球のZigbee使用に起因しています。Zigbeeは、多くのスマートホームデバイスが相互通信に使用している通信プロトコルです。攻撃者はZigbeeを攻撃することで、電球とホームネットワークを接続するHueブリッジを制御できるようになります。
攻撃者はZigbeeアンテナを利用して、電球の1つをスマートホームデバイスネットワークから完全に遮断し、その後、電球自体に悪意のあるコードを埋め込むことができます。その後、ユーザーがHueアプリで再ペアリングを行い、突然故障した電球を復旧させようとすると、マルウェアは電球からルーターに接続されているHueブリッジへと拡散する可能性があります。
マルウェアが Hue ブリッジに到達すると、攻撃者はネットワークの残りの部分にアクセスできるようになり、さらなる攻撃を実行できるようになります。
Check Pointは、Philips Hueの親会社であるSignifyに攻撃の詳細を通知しました。これにより、影響を受けるすべてのPhilips Hue電球にファームウェア修正プログラムが配布されました。責任ある情報開示プロトコルに従い、Check Pointは、パッチがユーザーへ配布された後、数週間以内に脆弱性に関する完全なレポートを発行する予定です。
ユーザーはHueアプリを開いて電球のアップデートが利用可能かどうかを確認し、できるだけ早くインストールすることをお勧めします。ただし、多くのデバイスではアップデートが自動的にインストールされるはずです。この脆弱性を修正した最新のファームウェアはバージョン1935144040です。
チェック・ポイント・リサーチのサイバー研究責任者ヤニフ・バルマス氏は、「IoTデバイスがセキュリティリスクをもたらす可能性があることは多くの人が認識しているが、この調査では、電球など、一見『無用の』デバイスでさえハッカーに悪用され、ネットワークを乗っ取ったり、マルウェアを植え付けたりできることが明らかになった」と警告している。
同じ手法が他のZigbeeベースのスマートホームデバイスにも使用できるかどうかは不明ですが、その多くはAppleのHomeKitフレームワークで制御可能です。Zigbeeを採用している主なデバイスとしては、Amazon Echo Plus、BelkinのWeMoシステム、IKEAのTradfriコレクションなどが挙げられます。
