中国のスマートホーム企業ORVIBOの顧客データが公開状態に

Catalin Cimpanu (Special to ZDNET.com) 翻訳校正: 中村智恵子 高橋朋子 (ガリレオ)2019年07月02日 12時33分

 スマートホーム管理プラットフォームを手がける企業が、顧客とそのデバイスのパスワードのデータを漏えいさせている。漏えい源は、パスワードをかけずにインターネットに接続されている「ElasticSearch」サーバーだ。

 このサーバーが帰属するのは、深センに拠点を置く中国企業ORVIBOだ。同社は、最新のスマートホームでスマート家電を管理するプラットフォーム「HomeMate」を運営している。

 同プラットフォームは、セキュリティカメラ、スマート電球、サーモスタット、HVAC(暖房換気空調)システム、ホームエンターテインメントシステム、スマートプラグ、スマートカーテン、スマートドアロックなど、多くのORVIBO製スマート機器の相互接続と制御をサポートしている。

データ漏えいは2週間以上前から

 しかし、ORVIBOは自社のバックエンドサーバーの1つ、具体的には、最新の接続ログが集積される「ElasticSearch」データベースの設定を誤ったとみられ、これをパスワードで保護せずにインターネットに接続していた。

 このデータベースは6月半ば、セキュリティ研究者のNoam Rotem氏とRan Locar氏が率いるvpnMentorのセキュリティチームによって発見された。チームは同月のうちに米ZDNetに発見を伝え、ORVIBOに問題を通知するための協力を求めた。

 過去2週間にわたって、vpnMentorと米ZDNetはORVIBOに連絡をとり、このセキュリティ上の問題について知らせたが、本稿執筆時点でORVIBOから反応はなく、何の対策もとられていない。

 問題のElasticSearchサーバーは今なおオンラインで自由にアクセスできる状態にあり、サーバーに置かれている接続ログのデータには、7月1日付けという直近のものまで含まれる。

接続ログのデータ

 また、同じサーバー上で稼働している関連ツールの「Kibana」も、パスワードなしでアクセス可能になっている。Kibanaはウェブベースのアプリケーションで、デフォルトのテキストベースのインターフェースの代わりにGUIを利用してElasticSearchサーバーのデータを可視化するものだ。

 vpnMentorによると、漏えいしているデータにはユーザー名、電子メールアドレス、ハッシュ化されたバスワード、位置情報などが含まれるという。

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

CNET Japanの記事を毎朝メールでまとめ読み(無料)

-PR-企画広告

企画広告一覧

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]