Oligur

• ニュース

メディア各社は、Wyze社が自社のセキュリティカメラにハッカー攻撃の脅威となるセキュリティ上の欠陥があることを3年前から認識していたと報じています。しかし、その間ずっと、同社は顧客にこの問題について告知していませんでした。

この欠陥に関するニュースは火曜日に報じられました。安価でありながら便利なセキュリティカメラで長年知られるWyzeは、その後、以下の通りこの論争に対応しました。

サイバーセキュリティ企業Bitdefenderは火曜日、このセキュリティ問題を詳述したブログ記事とホワイトペーパーを公開しました。この脆弱性により、ハッカーはWyze V1カメラのSDカードの内容に認証されていないリモートアクセスが可能になり、そこに保存されている動画を閲覧、さらにはダウンロードされる可能性がありました。

さらに悪いことに、Bitdefender の論文によると、Wyze 社は 2019 年 3 月に V1 カメラの脆弱性を認識していた。Bitdefender はまた、2019 年 9 月と 2020 年 11 月に修正された、未公開の Wyze カメラの脆弱性を他に 2 つ明らかにしている。

Wyzeの対応

新たに公開されたものの長年存在していた脆弱性への対応として、Wyzeはブログ記事を公開しました。記事の中で、ハッカーがこのセキュリティ上の欠陥を悪用するには、ユーザーのローカルネットワークに侵入するか、オープンなインターネット経由でアクセスする必要があると述べられています。同社は次のように述べています。

まず、これらの脆弱性を利用するには何らかのローカルネットワークアクセスが必要であることをユーザーにお知らせします。つまり、これらの脆弱性をリモートから悪用するには、ローカルネットワークを攻撃者に直接、あるいはインターネット全体に公開する必要がありました（ご安心ください。このような環境は想定されておらず、おそらく存在しないはずです）。

これは、ハッカーがWyzeカメラにアクセスする可能性が比較的低いことを示唆しています。また、V2またはV3カメラのファームウェアをアップデート済みであれば、1月29日のアップデート時点でこの脆弱性は修正されています。しかし、Wyzeが2月にサポートを終了したV1カメラは依然としてリスクにさらされています。Wyzeはこの点について次のように述べています。

残念ながら、2022年まで及ぶ多大な努力にもかかわらず、Wyze Cam v1（最終販売は2018年3月）では必要なセキュリティアップデートに対応できないことが判明しました。Wyze Cam v2の開発を促したカメラメモリの制限により、この製品ではこれらの問題を直接修正することができませんでした。

しかし3年間も開示されないのですか?

しかし、同社が3年間も顧客に脆弱性を開示しなかったという事実は変わりません。企業が欠陥の開示を数週間も躊躇するのは珍しいことではありません。それは数週間であって、数年ではありません。Wyze社もこの点についてコメントしています。

「なぜ今頃になってこのことを知ったのか？」と不思議に思われるかもしれません。BitdefenderとWyzeはどちらも、影響を受けるユーザーの安全を真剣に考えています。リスク軽減と修正アップデートに積極的に取り組んでいることから、脆弱性が修正されるまでは、詳細について慎重に検討することが最も安全であるという結論に至りました。

Wyze社製のセキュリティカメラのような製品が家庭で頻繁に使用されていることを考えると、今回のセキュリティ上の欠陥とその公表の不備が及ぼす影響は、プライバシーと個人のセキュリティの両面において深刻なものとなるでしょう。もしあなたがWyze社の顧客であれば、今後Wyze社を信頼しますか？ぜひ下のコメント欄でご意見をお聞かせください。