Ecovacsロボットのセキュリティ脆弱性は2023年末から指摘
ハッカーがロボット掃除機を乗っ取り。ペットを追い回したりヘイト発言を叫んだとの複数報告
ここ数か月、米国の複数の都市でEcovacsのロボット掃除機「DEEBOT X2 OMNI」を何者かがハッキングされ、ペットを追い回したり、所有者に人種差別的な暴言を浴びせかけたとオーストラリアのABCニュースが報じている。
今回の取材では、今年5月に被害に遭ったという人々が証言している。たとえばロサンゼルス在住の弁護士ダニエル・スウェンソン氏は家族と一緒にテレビを見ていたところ、ロボットのスピーカーから「ラジオの電波が乱れたような」ノイズが聞こえてきたという。そこでパスワードをリセットして再起動したものの、再び同じことが起こり、今度はハッキリと十代の若者のような声で悪口を叫ぶ声が聞こえたと語っている。
スウェンソン氏と同じ日に、やはりロサンゼルスではロボット掃除機が飼い犬を追い回したとのこと。さらに5日後、エルパソでは持ち主に人種差別的な中傷をコンセントを抜くまで吐き続けと伝えられている。
Ecovacsは声明にて「第三者によるクレデンシャルスタッフィング(漏えいしたユーザー名とパスワードを使って不正ログインを試みるサイバー攻撃)」を確認し、これらを行ったIPアドレスをブロックしたと述べている。なお、自社のシステムに何者かが侵入してユーザー名とパスワードを収集したと示す「証拠」は見つからなかったとのことだ。
Ecovacsロボット製品にセキュリティ上の欠陥があることは、すでに研究者らが実証済みだ。PINコード認証を回避してロボットをリモート制御したり、カメラを密かに有効にして私生活をスパイできるというものだ。
け
今回の声明でEcovacsは、この「遠隔ビデオのPINバイパス問題」は解決済みであり、11月のファームウェアアップデートで「セキュリティをさらに強化する」予定だと述べている。もっとも、それとは別にBluetooth経由でハッキングできる脆弱性も指摘されているが、こちらも修正されるかどうかは不明である。
クラウドに接続されたスマートホーム機器は、長年にわたりこの種の問題を引き起こしてきた。リモートで制御まで奪われる場合もあれば、単に認証情報が盗み出されたり、カメラでのぞき見されるなど事例はさまざまである。
大手ブランドのスマートスマートフォンの場合は、影響範囲の大きさのためか、セキュリティ脆弱性は速やかに報告し、かつ対策を講じる傾向がある。が、スマートホーム機器も常時ネット接続を必須とするものがEcovacs増え、サイバー攻撃のリスクが高まっているもかかわらず、報告を怠る企業が少なくない。米Consumer Reports等はそうしたメーカーを名指ししているが、日本でも同様のメディアが求められそうだ。