サムスン、IoTスマートホームハブ「SmartThings Hub」の脆弱性を修正

　サムスンの「SmartThings Hub」に見つかった複数の脆弱性によって、攻撃者らが、同デバイスに接続されたIoT機器をリモートで監視し、制御することが可能になるおそれがあった。

　サムスンが「スマートホームの頭脳」と呼ぶSmartThings Hubは、家庭内の複数のコネクテッドデバイスを接続し一元的に制御する単体のハブだ。

　しかし、SmartThings Hubに存在するセキュリティホールは、攻撃によって同デバイスが悪用され、不正な行為に使われるおそれがあることを意味していた。そうした不正行為には、カメラを通じたのぞき見、スマートロックの解除、アラームの無効化、スマートプラグなどに接続されたデバイスの電源オフなどがある。

　Cisco Talosの脆弱性研究者らは、20件に及ぶ個別の脆弱性を発見した。これらの脆弱性は、SmartThings Hubに対しさまざまなレベルのアクセスを許すものだ。研究者らは、適切な技術的知識を持つ者の手にかかっても「一部の脆弱性は悪用しにくいかもしれない」としているが、脆弱性を組み合わせて「重大な攻撃」につなげることは可能だという。

　Cisco TalosのOutreachチームでディレクターを務めるCraig Williams氏は、米ZDNetの取材に対し次のように述べた。「非の打ちどころのないソフトウェアなど存在しない。サムスンが多くのことを適切にこなし、デバイスを容易にアップデートできるよう設計したことは称賛されるべきだ。細かく調査すれば、どのベンダーのどのソフトウェアにもバグはあるものだ」

　サムスンの「SmartThings Hub STH-ETH-250」（ファームウェアバージョン0.20.17）は攻撃に脆弱だったが、同社はこのほどパッチを適用して、セキュリティホールをふさいだ。Talosは、このデバイスの真価はパッチやアップデートが自動的に適用されることにあるとして、今回の対応を称賛している。