ここから本文です

Amazon EchoとKindleの脆弱性、解決済みか否か確認する方法

2019/12/7(土) 8:00配信

TechTargetジャパン

 スロバキアのウイルス対策とファイアウォールの専門企業ESETの脅威研究者は、Amazon.comの第1世代「Amazon Echo」と第8世代「Amazon Kindle」に脆弱(ぜいじゃく)性が残っていると警告している。これらは「KRACK」(Key Reinstallation Attack:鍵再インストール攻撃)Wi-Fiエクスプロイトによって侵害される可能性が残っており、Amazonの数百万の顧客が端末を最新状態に更新できないでいることを示唆した。

 ベルギーのセキュリティ研究者がKRACKの脆弱性を最初に指摘したのは2017年のことだ。これはエンドユーザーのルーターや端末に影響を及ぼすのではなく、無線LANのWPA2規格を侵害することから特に懸念されている。

 KRACKは、WPA2プロトコルの4ウェイハンドシェイクを標的にする。これは、クライアント端末が保護されたWi-Fiネットワークへの参加を試みるときに実行される。端末とアクセスポイントの双方が適切な資格情報を保持し、セッショントラフィックを暗号化するために新しい鍵のネゴシエーションを行うことを確認する。

 攻撃者がこの脆弱性を悪用すると、このハンドシェイクの操作を再生して端末を欺き、既に使用中の鍵を再インストールできるようになる。するとWi-Fiネットワークを通過するデータをのぞき見ることが可能になる。

 この脆弱性の発見後、セキュリティコミュニティーはKRACKが実際どの程度深刻なのかについてさまざまなメッセージを発した。当時、攻撃が成功するには攻撃者がWi-Fiの範囲内にいる必要があったため、この攻撃が出回っても誰も悪用できないと広く伝えられていた。

 また、KRACKの公表時点で端末メーカーは解決に向けて既に数カ月間取り組んでいた。
 Synopsysでシニアセキュリティエンジニアを務めるボリス・チポット氏は次のように話す。「こうした経緯は、特にAmazon端末に懸念を残し続ける。KRACKの脆弱性は、ユーザーがWi-Fiに接続する際に、以前はセキュリティが確保されていると想定されていたデータを攻撃者がのぞき見できるという厄介な欠陥になる」

 ESETはAmazon EchoとKindleに欠陥が残っていることを12カ月前にAmazonに通告した。そのため、2019年初期に修正プログラムが発行された。

 ESETで研究者を務めるミロシュ・チェルマク氏は次のように語る。「近年、多くのホームアシスタント(スマートスピーカーなど)が入手できるようになっている。その一つを利用すれば、何億もの家庭がよりスマートになり、インターネット対応になる。セキュリティを念頭に置いて端末を開発しているベンダーがあるにもかかわらず、多くの場合、脆弱性は残っている」

 「当社は少なくとも3種類のAmazon端末で複数の欠陥を特定した。その製品の販売数から、セキュリティのリスクは極めて広範囲に及ぶ恐れがある」

 Cybereasonで最高セキュリティ責任者を務めるサム・カリー氏は次のように付け加える。「Amazon EchoやKindleなどのAmazonホームオートメーションスイート全体が個人の私生活とデジタルライフの根底に関わる。自宅や職場への影響や、これらの端末を安全かつセキュリティが確保された状態に調整する方法はまだ見つかっていない。Wi-Fiスニッフィング、傍受、ハイジャックは目新しいものではない。だが、この影響はKindleの読書習慣をのぞき見るだけにはとどまらない可能性がある」

 「Amazon Web Servicesとの取引関係があり、Amazon IDを所持している場合、そのIDは自宅、銀行口座、クレジットカードにリンクされていることが多いことに注意が必要だ。Amazonは共通コンポーネントとその使用状況全てについて、すぐにでも慎重に検討すべきだ」

 Synopsysのチポット氏は次のように述べる。「Amazon Echoにパッチが正しくインストールされたかどうかは、Alexaに『ソフトウェアアップデートをチェックして』と頼むとチェックできる。また、スマートフォンアプリ(Amazon Alexa)を使って『デバイス』で『Echo・Alexa』を選択し、手動でチェックすることも可能だ。そこから『詳細』(About)に進むと、端末に関連する最新のソフトウェア情報を確認できる。利用可能な最新バージョンは641571120だ」

 「Kindleにパッチが正しくインストールされているかどうかをチェックするには、ホーム画面で『設定』に移動し、メニューボタンをクリックしてデバイス情報を開く。端末には最新バージョン(5.12.1)がインストールされている必要がある。インストールされていない場合は、このバージョンを直ちにインストールする必要がある」

 ESETの研究チームは、Amazon EchoにはKRACKとは関係のない脆弱性があることも明らかにしている。それにより、ユーザーはブロードキャストリプレイ攻撃にさらされたままの状態になる。この攻撃は、有効な通信を頻繁に繰り返し、標的となる端末がこの通信を受け取る。これを悪用して分散型サービス拒否(DDoS)攻撃を仕掛けられたり、将来のブルートフォース攻撃に向けてパケットを収集されたりする恐れがある。

TechTargetジャパン

最終更新:2019/12/7(土) 8:00
TechTargetジャパン

こんな記事も読まれています

あなたにおすすめの記事