asouuo
  • アマゾンは、面倒な有給労働者を、トイレに行かなくてもいいヒューマノイドロボットに置き換えようとしている
Headlines

ホットタブ犯罪マシン:ジャグジーのスマートタブが個人情報を漏洩

05 mins
ホットタブ犯罪マシン:ジャグジーのスマートタブが個人情報を漏洩

スマート ホットタブ (そう、そんなものがあるのです!) が、Web 上でサイバー セキュリティの失態が起きる最新のスポットとなっています。

フロリダを拠点とするサイバーセキュリティ研究者イートン・ズベア氏は、自身のジャグジーブランドの浴槽にインターネット接続機能を設定していた際に、この欠陥に遭遇し、個人ブログで浴槽のインターネット接続問題を初めて報告しました。彼はすぐに、これらのスマート機能によって、悪意のある人物が彼自身の個人データ、そして他の多くのスマート浴槽愛用者のデータにアクセスする可能性があることに気付きました。

日常的に使うデバイスはますますスマートになっていますが、インターネットに接続すると必ず、些細なセキュリティ上の欠陥がつきものです。コーヒーポットがランサムウェアに感染したり、ベビーモニターのプライベートフィードがオンラインに流出したり、あるいは「インターネット・オブ・クソ」のTwitterフィードに様々なものが投稿されたりと、実に様々な問題が発生。そして、その不名誉な殿堂に新たに加わったのが、ジャグジー・スマートタブ(そして他にも多数)です。

そう、ジャグジーのスマート機器全体は文字通り「SmartTub」と呼ばれています。他のIoTサービスと同様に、SmartTubは利便性を重視して設計されています。オーナーはAndroidまたはiOSアプリを使って浴槽に接続でき、そのアプリから停電やシステムトラブルを通知されるだけでなく、手持ちのデバイスから浴槽の温度やジェットを調整できます。どうやらこの機能は人気が高く、Google PlayストアだけでもSmartTubアプリのダウンロード数は1万件を超えています。

しかし、Zveare氏が初めて浴槽アプリ関連のウェブサイトで自分のアカウントを設定しようとしたとき、奇妙なことに気づいた。画面に「そのサイトにアクセスする権限がない」という通知が表示されたのだ。しかし、その通知が表示される直前に、Zveare氏は管理パネルをちらりと見た。そこには、アプリを使用している他の浴槽所有者の個人データがぎっしり詰まっていた。その中には、Zveare氏と同じJacuzziの顧客だけでなく、Sundance Spa、D1 Spas、ThermoSpasといったJacuzziブランドの他のスマート浴槽の所有者も含まれていた。

ズヴェアレ氏によると、それはまさに「瞬きしたら見逃してしまう」ような瞬間だったという。「スクリーンレコーダーを使って録画しなければならなかった」と彼は書いている。

スクリーンショット: Eaton Zveare
スクリーンショット: Eaton Zveare

セキュリティ意識の高いユーザーであるZveareの最初の反応は、サイトを完全に攻撃しようと試みることだった。そして彼は(比較的容易そうに見えたが)Fiddlerというツールを使ってウェブトラフィックを操作し、TubSiteに自分が管理者であると信じ込ませた。そして、スマートテクノロジーは往々にして脆弱性を抱えているため、この策略は成功した。Zveareは世界中のTubオーナーの名前とメールアドレスを含む管理パネル全体にアクセスできたのだ。

「管理パネルに入ると、アクセスできるデータの量は驚くほどでした。すべてのスパの詳細を閲覧でき、オーナーを確認できるだけでなく、オーナーの削除までできました」と彼は書いています。「すべてのユーザー情報をダウンロードするスクリプトを作成するのは簡単です。もしかしたら既に実行されているかもしれません。」

我々はJacuzzi社にコメントを求めて連絡を取りました。Zveare氏も同様に連絡を取りました。彼のブログによると、昨年12月に脆弱性を発見した時、そして1月にも再び連絡を取り、その後も年間を通して繰り返し連絡を取りました。Zveare氏の説明によると、Jacuzzi社はメールの受信確認はするもののそれ以上の対応は取らず、完全に無視するといった対応を繰り返していました。最終的に、彼はJacuzzi社が使用していたログインシステムを担当していたAuth0社のセキュリティ担当者を説得しました。Auth0社はJacuzzi社を説得し、脆弱なパネルを1つシャットダウンさせましたが、Jacuzzi社側のさらなる妨害により、2つ目のパネルが無防備な状態になったとZveare氏は記しています。

しかし結局、ズヴェアレ氏はブログでこの顛末を全て書き上げる準備として、「(そのパネルを)ランダムにチェックする」ことにした。そして結局、ジャグジー社は残りのパネルを摘発したようだが、発見者にはそのことを告げなかった。

ジャグジーはこのデータ漏洩事件について、果たして認めるのでしょうか?これまでの実績から判断すると、そうは思えません。とはいえ、ジャグジーブランドはカリフォルニア州に拠点を置いており、同州にはIoTデバイスのセキュリティ基準を規定する法律や、個人情報が漏洩した場合に州民に通知することを義務付ける法律があります。

Tagged:

Related News