高齢者の緊急時アラームや子どものモニタリング、車両の追跡に使われている人気のGPSトラッカーに、セキュリティ上の欠陥があることがわかった。セキュリティの研究者は、重大な欠陥であるためデバイスを回収すべきとしている。
この位置情報トラッカーは中国製で、Pebbell by HoIP Telecom、OwnFone Footprint、SureSafeGoなどの製品名で十数社から販売されている。このデバイスはSIMカードで2G/GPRSの携帯電話ネットワークに接続している。インターネット接続のできるデバイスはなく、Shodanなど危険にさらされているデバイスのデータベースサイトに載ることはなさそうだが、デバイスにリモートでアクセスし、SMSで制御することができる。
英国のサイバーセキュリティ調査会社、Fidus Information Securityの研究チームによると、あるキーワードをテキストメッセージでデバイスに送信するだけで、リアルタイムの位置情報を返すという。また別のコマンドを使うと、誰でもデバイスに電話をかけ、誰にもアラートを発することなくデバイス内蔵のマイクが拾っている音声をリモートで聞くことができる。
さらに別のコマンドでは、リモートで携帯回線の信号を完全に遮断し、デバイスを事実上使えない状態にしてしまう。
デバイスはPINで保護できるが、デフォルトではオフになっている。しかも、PINがわからなくてもデバイスをリモートでリセットし、ほかのコマンドを受け付ける状態にできることが発見された。
この結果を報告したFidus社のAndrew Mabbitt氏は次のように述べている。「このデバイスは最も脆弱な人々の安全を守るために販売されている。それなのに、多くの人の位置情報や周囲の音を、持ち主に気づかれずに誰でも知ることができる。現代ではあらゆるものが何かしら接続されていて、セキュリティは置き去りにされているように思われる。良い方向には進んでいない」。
Mabbitt氏はTechCrunchに対し、このデバイスの電話番号さえわかれば攻撃できると語った。同氏のチームは、1台のデバイスの電話番号がわかれば数百台のデバイスの電話番号を推測するのは簡単だとし、「これらの電話番号はまとめて購入されたと考えられる」と報告に記載している。
同チームではデバイスを1台購入し、TechCrunchに実証させてくれた。コマンドひとつで即座にデバイスの正確な位置情報がテキストメッセージで返ってきた。IMEI番号やバッテリー残量などの情報もデバイスから引き出すことができた。
Mabbitt氏が「盗聴もどき」と呼んでいる、電話をかけるトリックも動作した。
セキュリティ研究チームが購入した脆弱なデバイスにテキストメッセージを送信すると、リモートでリアルタイムの位置情報を取得することができた。誤差は数メートルだった(画像:TechCrunch)
このデバイスは英国内に約1万台あると推定されている。世界中には相当な数のデバイスがあるだろう。研究チームは欠陥のあるデバイスのメーカーをいくつか挙げているが、Mabbitt氏はすべてのデバイスを回収する以外に脆弱性を修正する方法はないと語った。
チームは次のように述べている。「このセキュリティの問題を修正するのは簡単だったはずだ。各デバイスに一意のコードを印刷し、設定の変更にはそのコードが必要であるとすればよかった。位置情報と通話の機能は、緊急連絡先としてあらかじめ設定した電話番号からのみ受け付けるという制限をかけることができただろう」。
英国政府はちょうど先週、新しいサイバーセキュリティ関連法案を明らかにした。これはコネクテッドデバイスにはデフォルトパスワードではなく一意のパスワードを付与して販売しなくてはならないというものだ。
TechCrunchがコメントを求めたデバイス販売業者はいずれもこれに応じていない。
画像: Getty Images
[原文へ]
(翻訳:Kaori Koyama)