ここから本文です

スマホ対応照明器具に脆弱性、攻撃や情報流出の恐れ

ITmedia エンタープライズ 7月27日(水)8時14分配信

 セキュリティ企業のRapid7は7月26日、ドイツのメーカーOsramのスマート照明器具シリーズ「LIGHTIFY」に見つかった9件の脆弱性について、情報を公開した。一部の脆弱性についてはOsramがパッチを公開している。

【画像:9件の脆弱性一覧】

 LIGHTIFYは、スマートフォンのアプリで操作できる照明器具のシリーズ。家庭用と業務用の製品が販売されている。Rapid7によると、脆弱性を悪用されればネットワークの設定情報が流出したり、Web管理画面に対してクロスサイトスクリプティング(XSS)攻撃を仕掛けられたり、デバイス上でコマンドを実行されたりする恐れがある。

 中でも業務用製品のWeb管理コンソールに存在するXSSの脆弱性は、攻撃者が不正なJavaScriptやHTMLコードをWeb管理インタフェースに仕込んでシステムの設定を変更したり、製品を制御してユーザーのワークステーションに対してブラウザベースの攻撃を仕掛けたりすることが可能とされる。

 また、無線LANのWPA2暗号にデフォルトで脆弱なプリシェアードキー(PSK)が使われている問題では、WPA2 PSKを簡単に破られてしまう恐れがあるという。

 Rapid7によれば、この2件を含む5件の脆弱性についてはOsramがパッチを公開済みだが、7月26日の時点でまだ未解決の脆弱性も4件ある。

 同社は5月にこの問題をOsramに報告し、米セキュリティ機関のCERT/CCにも通知していたという。

最終更新:7月27日(水)8時14分

ITmedia エンタープライズ