あるセキュリティ研究者が、ダークウェブ上でドアベルカメラのRingに関連つけられた1562個の電子メールアドレスとパスワードを発見した。
このパスワードのリストは米国時間の12月17日に、ダークウェブ上の匿名のテキスト共有サイトにアップロードされたものだ。このサイトは一般に、盗まれたパスワードや違法な資料を共有するために使用されている。その場所であるセキュリティ研究者が、Ringカメラへのログインとアクセスに使用できる電子メールアドレスとパスワードのキャッシュをカメラのタイムゾーンや「ドライブウェイ」や「玄関」といった設置位置情報と共に発見したのだ。
その研究者が、その調査結果をRingブランドを所有するAmazonに報告したところ、Amazonはその調査結果を公に議論しないよう依頼してきたという。この記事を書いている時点では、ダークウェブ上のリストはまだアクセス可能だ。
12月19日に、2番目のRingの認証情報リークが判明した。当日の早い段階で、BuzzFeed NewsがドアベルのRingに関係した3600件を超える同様のデータキャッシュが、オンラインで投稿されことを報告している。冒頭のデータは、BuzzFeedが入手したデータセットと類似したデータセットのようだ。有効なメールアドレスとパスワードを知っている人なら誰でもRingアカウントにログインして、Ringの顧客の住所、電話番号、支払い情報の一部を取得できる。また、認証情報を手に入れたものは、設定が有効になっていた場合には、家庭のRingデバイスのビデオデータの履歴へアクセスすることも可能になる。データがどのようにして公開に至ったのかは不明だ。
ダークウェブ上の情報(画像:TechCrunch)
TechCrunchは、ダークウェブのリストで情報が見つかった数十人の個人に連絡した。その際、各ユーザーに対して発見したパスワードを提示した。回答を送ってきた人は皆、それが自分自身のパスワードであることを認めた。
私たちのアドバイスをきっかけに、全員がパスワードを変更し、一部のユーザーはアカウントに対する二段階認証を有効にした。
私たちが見たほぼすべてのパスワードは、比較的単純で推測が容易なものだった。これらのパスワードは、ハッカーがパスワードを推測するために使用するパスワードスプレー手法やハッカーがほかのさまざまなウェブサイトのアクセスに利用することができた、すでに公開または漏洩したユーザー名とパスワードの組を使うクレデンシャルスタッフィング手法などで収集された可能性があある。
Ringの広報担当者であるYassi Shahmiri(ヤーシ・シャミリ)氏は、本記事の当初の公開までにはコメントを寄せなかったが、記事投稿後に電子メールでデータ漏洩に関して否定した。
「アカウントが公開されていると私たちが判定した顧客には通知を行い、彼らのパスワードをリセットしました。さらに、Ringアカウントへの不正なログイン試行を、監視しブロックし続けています」と広報担当者は語った。しかし、会社側の主張とは異なり、私たちが接触した人のうちRingから連絡を受けた人はいなかった。
これがこの1週間のうちにRingの防犯カメラが関与したものの最新のセキュリティ事案だ。先週には、米国各地でハッカーたちがRingカメラに侵入していた方法に関するニュースレポートが登場していた。一部の犯罪フォーラムが、Ringアカウントに侵入するツールを共有しているのだ。その後、今週初めにMotherboardがRingカメラの持つお粗末なセキュリティ対策を報告した。
例えば、他の人間がログインしていることや、頻繁にアクセスされていること、そして弱い形式の二段階認証を使用していることなどを、ユーザーに通知しないのだ。Ringは「ベストプラクティス」を使っていないユーザー側に責任の多くがあると考えている。しかし、ユーザー保護のための「基本的なセキュリティ対策」を講じていなかったことに対する非難の声も起こっている。
Ringはまた、合衆国内との法執行機関との緊密な関係に対して、議員たちからの追求を受けている。ほかにも漏洩したRingアカウント認証情報のセットが、どれくらいダークウェブ上を漂っているのかは不明だ。ユーザーは、強力でユニークなパスワードでアカウントを保護し、2段階認証を有効にする必要がある。
[原文へ]
(翻訳:sako)
