ロボット掃除機に重大な脆弱性「あなたの家の中が見える」という恐れ　韓国で調査

【KOREA WAVE】韓国で、市販されている一部のロボット掃除機から、カメラ画像の閲覧などにつながるセキュリティ上の脆弱性が発見された。

　韓国インターネット振興院（KISA）と韓国消費者院は9月2日、現在流通しているロボット掃除機6製品を対象にセキュリティ実態を調査した結果、いくつかの製品にプライバシー侵害や個人情報漏洩の可能性がある脆弱性を確認し、即時対応を取ったと明らかにした。

　ロボット掃除機はカメラやセンサーを通じて外部サーバーと通信するIoT（モノのインターネット）製品だ。利便性と効率性により近年ユーザーが増加しているが、セキュリティが不十分な場合、個人情報などが流出する恐れがあるため、特別な注意が必要だ。

　KISAと韓国消費者院は、調査対象の6製品について、ロボット掃除機を制御・設定する「モバイルアプリのセキュリティ」、メーカーのセキュリティアップデート方針や個人情報保護方針などを含む「ポリシー管理」、ハードウェア・ネットワーク・ファームウェア（内蔵ソフトウェア）などの「機器セキュリティ」という3つの分野に分けて、計40項目を点検した。

　モバイルアプリのセキュリティ点検では「Narwal」「Dreame」「Ecovacs」の3製品で、ユーザー認証手続きが不十分で、不正なアクセスや操作が可能な状態だった。これにより、家の内部を撮影した写真が外部に漏れたり、カメラ機能が強制的に作動したりするなど、プライバシーが侵害される脆弱性が確認された。

　ポリシー管理の点検では、Dreame製品1件で個人情報の管理が不十分で、名前や連絡先などユーザーの個人情報が漏洩する恐れのある脆弱性が発見された。一般的な使用環境では悪用の可能性はやや低いものの、一定以上の技術を持つハッカーによって悪用されるおそれがあり、事業者に即時是正を求め、すでに対応が完了した。

　機器セキュリティの点検では、DreameとEcovacsの2製品でハードウェアのセキュリティレベルが比較的低く、調査対象製品全般においてファームウェアのセキュリティ設定が不十分で、機器内部のセキュリティ構造が外部に露出する可能性があることが明らかとなった。

　調査対象の6製品のうち、サムスン電子とLG電子の2製品は、アクセス権限の設定、不正操作防止機能、安全なパスワードポリシー、アップデート方針などが比較的しっかり整備されており、総合的な評価で相対的に優れていた。

　KISAと韓国消費者院は、全6社の製品に対して、モバイルアプリの認証手続き、ハードウェアの保護、ファームウェアのセキュリティ改善など、脆弱性に対するセキュリティ強化措置を勧告し、全企業が韓国消費者院の勧告に応じて品質改善計画を返信した。

　また、消費者に対しては、ロボット掃除機を使用する際に安全なパスワードを設定し、定期的にセキュリティアップデートをするなど、基本的なセキュリティ対策に注意するよう呼びかけた。(c)KOREA WAVE/AFPBB News｜使用条件