スマートホーム管理プラットフォームを手がける企業が、顧客とそのデバイスのパスワードのデータを漏えいさせている。漏えい源は、パスワードをかけずにインターネットに接続されている「ElasticSearch」サーバーだ。
このサーバーが帰属するのは、深センに拠点を置く中国企業ORVIBOだ。同社は、最新のスマートホームでスマート家電を管理するプラットフォーム「HomeMate」を運営している。
同プラットフォームは、セキュリティカメラ、スマート電球、サーモスタット、HVAC(暖房換気空調)システム、ホームエンターテインメントシステム、スマートプラグ、スマートカーテン、スマートドアロックなど、多くのORVIBO製スマート機器の相互接続と制御をサポートしている。
しかし、ORVIBOは自社のバックエンドサーバーの1つ、具体的には、最新の接続ログが集積される「ElasticSearch」データベースの設定を誤ったとみられ、これをパスワードで保護せずにインターネットに接続していた。
このデータベースは6月半ば、セキュリティ研究者のNoam Rotem氏とRan Locar氏が率いるvpnMentorのセキュリティチームによって発見された。チームは同月のうちに米ZDNetに発見を伝え、ORVIBOに問題を通知するための協力を求めた。
過去2週間にわたって、vpnMentorと米ZDNetはORVIBOに連絡をとり、このセキュリティ上の問題について知らせたが、本稿執筆時点でORVIBOから反応はなく、何の対策もとられていない。
問題のElasticSearchサーバーは今なおオンラインで自由にアクセスできる状態にあり、サーバーに置かれている接続ログのデータには、7月1日付けという直近のものまで含まれる。
また、同じサーバー上で稼働している関連ツールの「Kibana」も、パスワードなしでアクセス可能になっている。Kibanaはウェブベースのアプリケーションで、デフォルトのテキストベースのインターフェースの代わりにGUIを利用してElasticSearchサーバーのデータを可視化するものだ。
vpnMentorによると、漏えいしているデータにはユーザー名、電子メールアドレス、ハッシュ化されたバスワード、位置情報などが含まれるという。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」