Sharkの掃除機に脆弱性、カメラや自宅の地図、Wi-Fiパスワードが露出する恐れ

Sharkのクラウド接続型ロボット掃除機は現在、AWS(Amazon Web Services)のIoT(Internet of Things)ポリシーに存在する未修正の欠陥にさらされています。この欠陥により、1台の侵害されたデバイスが、同一リージョン内にある他の多数のデバイスを遠隔操作できる「マスターキー」に変わりかねず、カメラや地図、Wi-Fiパスワードへのアクセスを許してしまう可能性があります。

tokay0というハンドル名を使う研究者がShark RV2320EDUSロボット掃除機を分解調査したところ、内蔵されているAWS IoT証明書が、自身のデバイスだけでなく、同一のAWSリージョンにある任意のSharkデバイスのトピックに対してもパブリッシュ(発行)・サブスクライブ(購読)できる状態になっていることが判明しました。

AWSリージョンとは、Amazonがクラウドデータセンターを集約している、地理的に区別された拠点のことです。各AWSリージョンは互いに完全に分離されており、現在全世界で39のAWSリージョンが存在します。

AWSは仕様上、デバイスごとに設定やコマンドといった状態を保持する「シャドウ」を個別に用意しています。しかし、SharkのMQTT(Message Queuing Telemetry Transport)ポリシーが過度に緩いため、盗み出された証明書が他の掃除機のシャドウにもアクセスできてしまいます。

簡単に言えば、各掃除機はクラウド上に本来それぞれ専用の「受信箱」を持つはずです。しかし、Sharkのクラウド側のルールが広すぎるため、1台の掃除機から盗み出した証明書を使って、他の掃除機の受信箱にもコマンドを送信できてしまうのです。

今回、証明書は物理的なアクセスとデバッグコンソールを使って抽出されたものであり、最初の侵害には対面でのアクセスが必要です。しかし、その後の悪用については遠隔かつクラウド経由で行うことが可能です。

掃除機の所有者にとって、これは単に誰かが午前3時に掃除機を起動させるといった話では済みません。研究者によると、このクラウドアクセス権を得た攻撃者は次のようなことが可能になるといいます。

  • 掃除機のカメラから映像を覗き見て、自宅内を監視するモバイル監視装置に変えてしまう。
  • 平文で保存されているというWi-Fiパスワードを盗み出し、ローカルネットワークへの侵入の足がかりを得る可能性がある。
  • 掃除機が作成した自宅の地図データをコピーし、部屋の配置や各エリアの利用頻度を把握する。

ベンダーがセキュリティ対策を怠った際に、「スマート」掃除機がプライバシーや安全性のリスクとなり得ることは、これまでにも見てきました。Malwarebytes Labsが報じた記事では、Ecovacsのロボット掃除機が乗っ取られ、スピーカーやセンサーを通じて猥褻なメッセージを再生したり、ユーザーを監視したりする様子が確認されており、便利な家電がいかに簡単に招かれざる「同居人」になり得るかを示していました。

この研究者は自身の掃除機から抽出した証明書を使い、同一のAWSリージョン内にあるSharkデバイスの通信を監視し、どのデバイスが遠隔コマンド実行に対応しているかを特定できました。単一のAWSリージョンにおける24時間の観測期間中、研究者は1,517,605件のユニークなShark製品のシリアル番号を確認し、そのうち673,816台(約44%)のデバイスが、遠隔コマンド実行機能に対応していることを示す応答を返したといいます。

この研究者は次のように述べています。

「影響を受けるデバイスの正確な数を推定するのは難しく、デバイス間でパブリッシュを許してしまう誤設定の証明書を持つデバイスがどれかを特定するのは、さらに難しい作業です」

しかし、次のように結論付けています。

「非常に多数のSharkNinja製IoTデバイスが、この脆弱性の影響を受けています」

安全を確保する方法

この問題の核心にあるのは、十分な厳格さを備えていないクラウド側のポリシーです。つまりこれはサーバー側の問題であり、利用者が自分でファームウェアを修正して対処できる類のバグではありません。

研究者によると、SharkNinjaは6か月以上前に通知を受けているにもかかわらず、この脆弱性をまだ修正していないといいます。状況が変わるまで、所有者は以下の対応を取ることが推奨されます。

  • Sharkに対し、問題の修正を強く求める。
  • スマート機能が不要であれば、掃除機の遠隔操作機能を無効化するか、Wi-Fiから切断する。
  • Sharkから修正パッチ、CVE、またはリコールに関する発表がないか注視する。

翻訳元: https://www.malwarebytes.com/blog/news/2026/07/shark-vacuum-flaw-exposes-cameras-home-maps-and-wi-fi-passwords

ソース: malwarebytes.com