100万台以上のベビーモニターとセキュリティカメラがMeariの脆弱性により露出

100万台以上のインターネット接続ベビーモニターとセキュリティカメラが、Meari Technologyに関連する複数の脆弱性を通じて露出したと報告されています。

これらの脆弱性により、攻撃者は世界中から機密画像、デバイスデータ、リアルタイム家庭活動へのアクセスが可能になった可能性があります。

「このストーリーが特に厄介な理由は、IoTセキュリティにおける最も難しい問題の1つを強調しているためです：ホワイトボックス製品と分断された責任」と、Finite Stateのサービス担当副社長Larry Pesceは、eSecurityPlanetへのメールで述べています。

彼は追加で、「これらのビジネスモデルでは利益幅が極めて薄いため、セキュリティ投資がしばしば製品要件ではなくコストセンターとして扱われます」と述べています。

ベビーモニターとカメラ研究の主要なポイント

• 100万台以上のベビーモニターとセキュリティカメラが、Meari Technologyに関連する脆弱性を通じて露出したと報告されています。
• 研究者Sammy Azdoufal氏は、露出したバックエンドシステム、公開アクセス可能な画像、弱い暗号化保護、およびハードコードされた認証情報を特定しました。
• 脆弱性は、Amazonなどのマーケットプレイスを通じて販売される300以上のカメラブランドによって使用されるホワイトラベルIoTエコシステムに影響を与えました。
• 一部の脆弱性により、攻撃者はカメラアクティビティを監視し、保存された画像にアクセスし、認可なしでデバイス情報を取得できた可能性があります。
• セキュリティ専門家は、インシデントがより広いIoTサプライチェーンおよび接続デバイスに関連するサードパーティインフラストラクチャリスクを強調していると警告しています。

ベビーモニターの脆弱性がIoTセキュリティ懸念を提起

インシデントは、インターネット接続カメラ、ベビーモニター、およびホワイトラベルIoTプラットフォームのセキュリティについて、新たな懸念を引き起こしています。

セキュリティ専門家は、多くの消費者がAmazonなどのマーケットプレイスで数百の異なるブランド名で販売されているため、彼らのカメラが同じ基盤となるプラットフォームに依存していることに気づいていない可能性があると警告しています。

Meari Technologyは、300以上のカメラブランドによって使用されるハードウェア、ソフトウェア、およびクラウドインフラストラクチャを提供しており、単一のセキュリティ欠陥が数百万の接続デバイスを露出させる可能性があります。

研究者Sammy Azdoufal氏は、技術レポートで、MeariアプリケーションとSDKで露出したバックエンドシステム、公開アクセス可能な画像、弱い暗号化保護、およびハードコードされた認証情報を発見しました。

Azdoufal氏は、プラットフォームのアーキテクチャが複数の地域にわたるデバイスアクティビティおよび保存データへの広範な可視性を可能にしたと述べています。

CVE-2026-33356

より深刻な問題の1つであるCVE-2026-33356は、プラットフォームのMQTTブローカー上のデバイスごとのアクセス制御が不足していました。

Azdoufal氏によると、任意の無料CloudEdgeアカウントはプラットフォーム全体のデバイス通知をサブスクライブし、カメラアクティビティをリアルタイムで監視できた可能性があります。

彼は、単一の地域ブローカーから数分以内に2,000台以上のカメラから数千のデバイスメッセージを観察したと述べています。

CVE-2026-33359

別の脆弱性であるCVE-2026-33359は、Alibaba Object Storage Service（OSS）サーバに保存されたモーション警告画像を認証、署名付きURL、または有効期限制御なしで露出させました。

Azdoufal氏は、MQTTメッセージに埋め込まれた画像リンクが無期限に公開アクセス可能なままであり、認可されていないユーザーが家庭や保育室内から機密写真を取得できる可能性があると述べています。

CVE-2026-33362

Azdoufal氏はまた、CVE-2026-33362を特定しました。これは、Meari搭載アプリケーションおよびデバイス全体で共有されるハードコードされた暗号化キーが関係していました。

彼の調査結果によると、エコシステムは展開されたハードウェアを再フラッシュしなければ簡単にローテーションできない静的OpenAPIキー、HMACシークレット、DESキー、およびピアツーピア認証情報に依存していました。これにより、長期的なセキュリティおよび保守上の懸念が生じています。

追加の調査結果は、「.jpgx3」形式を使用するベビーモニター画像ファイルを保護する弱いXORベース難読化について説明しています。

Azdoufal氏は、ファイルをデコードするために必要なシリアル番号情報が画像URLを含む同じMQTTメッセージに表示されるため、攻撃者が機密画像を再構築できる可能性があると述べています。

露出により、プライバシーおよび監視に関する懸念が生じました。多くの影響を受けたデバイスが家庭、寝室、保育室、およびその他の機密環境内にインストールされていたためです。

Azdoufal氏は、Meari搭載カメラで生成された数千の画像（子どもや個人的な家庭活動が含まれた画像を含む）にアクセスしたと報告されています。

彼はまた、攻撃者がデバイスシリアル番号のみを使用してデバイスWAN IPアドレスを取得できたと思われる露出したAPIエンドポイントも特定しました。

IoTセキュリティリスクを軽減する方法

多くのスマートホーム製品と監視製品がクラウド接続と共有バックエンドインフラストラクチャに依存しているため、単一の脆弱性が多数のデバイスを同時に露出させる可能性があります。

• セキュリティパッチが利用可能になったら、できるだけ早くファームウェア、ソフトウェア、およびモバイルアプリの更新を適用してください。
• 可能な限り、デバイスおよびクラウドアカウント用に強力でユニークなパスワードを使用し、多要素認証を有効にしてください。
• IoTデバイスを機密性の高いホームネットワークまたはエンタープライズネットワークから分離し、不要なインターネット露出またはリモートアクセス機能を制限してください。
• デバイスアクティビティ、アウトバウンドトラフィック、および接続アカウントを監視し、認可されていないアクセスまたは異常な動作の兆候を確認してください。
• セキュアな認証情報管理、暗号化実践、脆弱性開示プログラム、および長期的なパッチサポートについてベンダーを評価してください。
• セキュリティ更新またはセキュリティメンテナンスを受け取らなくなったサポートされていないまたはサポート終了デバイスを置き換えてください。
• IoT侵害シナリオを含むインシデント対応および復旧計画をテストしてください。

これらの対策を総合的に実施することで、組織と消費者は回復力を強化し、可視性を向上させ、IoT関連のセキュリティおよびプライバシーリスクへの露出を軽減することができます。

ホワイトラベルIoTプラットフォームのリスク

Meariインシデントは、IoTサプライチェーンセキュリティおよびホワイトラベル技術プラットフォームに関連するリスクに関する継続的な懸念を強調しています。

消費者はしばしば個々のデバイスブランドを認識していますが、多くの接続製品は、サードパーティプロバイダーによって管理される共有クラウドサービス、バックエンドインフラストラクチャ、および組み込みソフトウェアに依存しています。

セキュリティチームの場合、インシデントは共有IoTエコシステム内の脆弱性が複数のブランドの多数のデバイスに影響を与える可能性があることを示しています。

接続カメラおよびスマートホーム技術が引き続き拡大するにつれて、組織と消費者は、それらのデバイスの背後のセキュリティ実践およびインフラストラクチャに大きな焦点を当てるべきです。

インシデントはまた、組織がベンダーのセキュリティ実践を評価および監視するのに役立つサードパーティリスク管理ツールの必要性を強調しています。