1 ポイント 投稿者 GN⁺ 2024-02-09 | 1件のコメント | WhatsAppで共有
  • Fortinetは、スマート歯ブラシ300万台がDDoS攻撃に使われたという報道について、実際の事件ではなく攻撃タイプの例だったと訂正したが、最初に報じた Aargauer Zeitung は、Fortinetが実際の事例として説明したと反論している
  • 最初の報道では、JavaベースのOSを使うスマート歯ブラシがマルウェアに感染してボットネット化し、スイス企業のWebサイトを4時間まひさせ、数百万ユーロの被害を与えたと伝えた
  • Fortinetは、この話はFortinetまたは FortiGuard Labs の研究に基づくものではなく、翻訳の過程で仮想シナリオと実際の事例の境界が曖昧になったと説明した
  • Aargauer Zeitungは、Fortinetスイス担当者が会議と掲載前の原稿確認の過程で、「実際に起きた事件」という表現を訂正しなかったと反論している
  • 真偽をめぐる論争とは別に、接続された歯ブラシ・ルーター・監視カメラのような IoT機器 は攻撃対象やボットネット資源になり得るため、アップデートとネットワーク監視が必要だ

Fortinetの訂正とAargauer Zeitungの反論

  • Fortinetは、スマート歯ブラシ300万台がDDoS攻撃に使われたという報道は不正確だと訂正した
    • 歯ブラシの事例は、インタビュー中に特定の攻撃タイプを示す だったと説明した
    • この内容はFortinetまたは FortiGuard Labs の研究に基づくものではない
    • 翻訳の過程で、仮想シナリオと実際の事例が混ざったストーリーが作られたとみている
  • Aargauer Zeitungは、Fortinetの「翻訳の問題」という説明を受け入れていない
    • Fortinetスイス担当者が、現在の脅威を議論した場で歯ブラシの事例を実際のDDoS攻撃として説明したと述べている
    • 攻撃でスイス企業のWebサイトがどれほど長く停止したか、被害規模がどの程度だったかという具体的な情報もFortinetが提供したという
    • 被害企業名は、Fortinetが顧客への配慮から公開しなかったと説明した
    • 掲載前に原稿がFortinetへ確認用として送られ、実際の事件という表現にも異議がなかったと反論している

最初の報道で示された攻撃内容

  • 最初の報道では、約 300万台のスマート歯ブラシ がハッカーに感染させられ、ボットネットに組み込まれたと伝えた
  • このボットネットはスイス企業のWebサイトに DDoS攻撃 を実行し、Webサイトは攻撃負荷に耐えられず停止したとされる
  • 攻撃は4時間続き、被害は数百万ユーロ規模の営業損失につながったと伝えられた
  • 原文には「ハリウッドのシナリオのように見えるこの例は、実際に起きた」という趣旨の文が含まれており、ドイツ語メディアGolem.deもこれを実際の事件として報じた
  • 複数のドイツ語話者は、「実際に起きた」という翻訳が正確だと確認している

技術的説明と残る不確実性

  • 最初の報道では、問題の歯ブラシボットネットが JavaベースのOS によって脆弱だった可能性を示した
  • 特定のスマート歯ブラシのブランドは言及されていない
  • スマート歯ブラシの通常の接続機能は、ユーザーの口腔衛生習慣を追跡し改善する用途だった
  • マルウェア感染後、それらの歯ブラシはボットネットに強制的に組み込まれたと伝えられている
  • 被害を受けたスイス企業の名前と詳細な被害内容は公開されていない

IoTセキュリティ警告

  • Fortinetスイス支社のStefan Zügerは、インターネットに接続されたあらゆる機器が潜在的な標的、あるいは攻撃に悪用される可能性があると述べた
  • 歯ブラシ以外にも ルーター、セットトップボックス、監視カメラ、ドアベル、ベビーモニター、洗濯機などが同じ範疇に含まれる
  • 接続機器はハッカーによって継続的に脆弱性探索の対象となっており、機器のソフトウェア・ファームウェア製作者とサイバー犯罪者の競争が続いている
  • Fortinetは、保護されていないPCをインターネットに接続すると 20分 でマルウェアに感染したと明らかにした

接続機器ユーザーがすべきこと

  • 事件の詳細な真偽が議論中であっても、接続機器の所有者は機器と ファームウェア、ソフトウェアを最新の状態に保つべきだ
  • ネットワーク上の疑わしい活動を監視すべきだ
  • セキュリティソフトウェアを導入し、使用すべきだ
  • ネットワークセキュリティのベストプラクティスに従うべきだ
  • Tom’s Hardwareは、新たな展開を反映して、元の見出し「Three million malware-infected smart toothbrushes used in Swiss DDoS attacks — botnet causes millions of euros in damages」を変更した

1件のコメント

 
GN⁺ 2024-02-09
Hacker News の意見
  • この記事は奇妙で、抜けている詳細が多い。大手のスマート歯ブラシはどれも BLE を使っていて、Wi-Fi に直接接続されるものではないと理解している
    ファクトチェックしようとしたが、何も見つからなかった。BLE チップの中には Wi-Fi も使えるものが多いので、誰かがファームウェアを破損させて Wi-Fi 機能を有効にした可能性を完全に排除するわけではないが、そもそもどうやって Wi-Fi に接続してボットネットを動かしたのか疑問だ。IoT 機器のリスクという前提は今も有効だが、この記事自体はかなり懐疑的に見ている

    • 私もファクトチェックしてみたが、原因になり得るJava ベースのオペレーティングシステムについて語っていた
      Java ME があったことや、マイクロコントローラー上で動くマイクロ JVM もあることは知っているが、それでも辻褄が合わない。DDoS 攻撃は実際にあったし、日常的に起きていることだが、セキュリティ「専門家」たちが、こうした攻撃はどこからでも来る可能性があり、歯ブラシからでさえ来ると言った話が、翻訳の過程で詳細が抜け落ちたか、クリックベイトとして使われたように思える
    • ESP32 は今や、8ビット MCU で十分な用途でも汎用チップのように使われている。ESP32 や SDK にリモートから悪用可能な脆弱性があれば、大規模な結果につながり得る
    • 実際に起きたことではなく、ただバイラルになったでたらめだ
      https://cyberplace.social/@GossiTheDog/111886558855943676
    • 口腔衛生のためにウォードライビングでもしたのか?
  • 本当にお粗末な記事だ。誰かがスマート歯ブラシ300万本が DDoS に使われたと主張しているが、何が/誰が/どのようにやったのかは誰も言っていない
    こうした異例の主張には、少なくとも何らかの証拠が必要に思える。歯ブラシだと識別できるようにした技術的詳細が、最低限あってしかるべきではないか?

    • たとえスマート歯ブラシを Wi-Fi に接続したとしても、それが公開インターネットにさらされるというのもおかしい。大半の人は ISP から支給された無骨なケーブルモデムのようなものを使っていて、基本的なインバウンドファイアウォールがあるのでは?
    • もっと詳しい内容は私も見たいが、低価格のWi-Fi 家電ではそこまで異例のことではないと思う
  • Bluetooth もインターネットもベンダーロックインの替えブラシもない古いPhilips の歯ブラシを使っているが、ガラスのコップの中でワイヤレス充電もできる。とても気に入っている
    最近2本目を買おうとしたら、望んでもいないゴミ機能が付いた新型モデルしか見つからなかった。いったい誰が歯ブラシをインターネットにつなぎたいのか? 結局 eBay で旧型の在庫を見つけた。残酷に聞こえるかもしれないが、こういう機能を製品に入れると決めた愚か者と、それを実装した手先が、今日ひどい一日を過ごし、自分たちがしたことの賢明さを振り返ってくれることを願う

    • Wi-Fi は馬鹿げているが、Bluetooth/アプリ連携には実際の利点がある。どこを磨いていて、どの部分を磨き残しているかを確認するのに使える
      スマホアプリを使うスマート歯ブラシを使い始めてから、歯科医が私の奥歯の裏側の歯垢が明らかに改善したと見てくれた
  • 「機器、ファームウェア、ソフトウェアを最新の状態に保ち、不審な活動を監視し、セキュリティソフトをインストールして使用し、ネットワークセキュリティのベストプラクティスに従え」という警告なら、いっそ必須認証を取得した消費者にだけスマート歯ブラシの購入を許可すべきなのかもしれない

    • 当然、責任は機器の所有者にあり、実際に安全な機器を製造すべきメーカーにはない、というわけだね
    • 「ネットワーク上の不審な活動を監視しろ」だって。ルーターをインターネットが出てくる箱くらいにしか思っていない人たちに、パケットキャプチャを実行して結果を解釈しろと求めているわけだ
  • この2つを1本の漫画として誤って記憶していたが、すべてを手に入れることはできないようだ
    https://i0.wp.com/www.litterboxcomics.com/wp-content/uploads...
    https://i0.wp.com/www.litterboxcomics.com/wp-content/uploads...

  • Philipsの電動歯ブラシに関する警告: スマート機能を使わなくてもBluetoothをオフにできない
    Wi-Fi対応のPhilips空気清浄機にも注意が必要。リモート制御機能を無効化できないため。設定を完了するにはスマートフォンで接続するWi-Fiホットスポットを作る必要があり、この機能を使わないと、空気清浄機が恒久的なWi-Fiホットスポットを作って悪用されるのを待つ状態になる

    • 数日前に読んだ話を思い出した。Home Assistantが隣人のBluetooth歯ブラシを検出して、彼らがいつ歯を磨いているのか見られるようになったという内容だった
      https://old.reddit.com/r/homeassistant/comments/1306pcw/home...
    • バッテリー持ちがひどく悪いフィットネスウォッチを結局処分したのだが、しばらく理由が分からなかった。数か月後になって同じ事実に気づき、Bluetoothをオフにできなかった
      スマホアプリと時計が常に同期しようとして互いを探し続けており、代替策はペアリングを解除してから使い、またペアリングし直して同期するというものだったが、面倒すぎた。それでも実際にバッテリー持ちは良くなった。会社のカスタマーサポートにオンラインで不満を伝えたが、向こうもなぜバッテリーがそんなに悪いのか分からず、何か設定を変えたのだろうからスマホを工場出荷状態にリセットしてみろと言うだけだった。Polarに替えてから、今使っている時計は1回の充電で5日もつ。1日未満だった頃から大きく変わった
    • 同じ話題ならPhilipsのCPAP機器にも注意が必要。睡眠中に分解される発がん性フォームを肺にゆっくり吹き込んでくれる
      実に素晴らしい会社だ。最高のCPAPメーカーの一つを買収したあと、素材をケチって、がんリコールの収益逓減点に達し、それをできるだけ長く隠さないという選択肢がなかったわけでもないのに
    • ネットワークやコンピューターに接続されていない空気清浄機のWi-Fiホットスポットが、どんなリスクをさらす可能性があるのか?
    • Bluetoothをオフにできないかもしれないが、何ともペアリングしないことは選べる。機器の設定後にペアリングを削除してもいい
  • そもそも歯ブラシがなぜWeb接続できる必要があるのか? 歯磨き習慣の追跡のためだというのは分かるが、LANのようなローカル接続だけでもできるのでは?

    • 歯ブラシの利用者全員が自宅にサーバーを置いて、そこへ接続できる能力を持っているわけではない。むしろ大半は、歯ブラシを有効化したときに自分が何をオンにしたのか分かっていなかったと思う
      それに掃除機、冷蔵庫、洗濯機、コーヒーメーカー、そして数え切れないほど多くの「スマート」個人情報送信家電のことも忘れてはいけない。HNの人たちのうち、まさにこういう技術を作っている人がどれだけいて、この記事を読んでいる人がどれだけいて、実際に気にしている人がどれだけいるのか、アンケートを取ってみたいくらいだ
    • 実際のビジネスモデルが集計データの販売だからでは?
    • 最近店で見たが、どの歯ブラシも「AI」、アプリ、Wi-Fi/Bluetoothなどを宣伝していた。こういう製品に合理的な上位の販売訴求ポイントを付けるのは難しいのだろう
    • 私も同じ考えだが、歯ブラシ自体にデータを保存しないのだとしたら、一般家庭ではどの機器がそのデータを受け取るべきなのだろう?
  • あらゆる技術は、どう使われるべきかが明確になる前に実験の時期を経るものだと思う
    だから爆弾にはProject Plowshareがあり、今ではオン・オフスイッチだけで足りる機器にまでインターネット接続が付いている。接続された歯ブラシがなぜ必要なのかは少し理解できないが、ときどき歯ブラシベースのボットネットが出てくるとしても、実験精神そのものは非常に高く評価する

    • もちろん、技術の使われ方が明確になる前には実験が必要だ。しかし昨日ここで述べたように [0]、実験は広範な結果を生むため、専門の科学者には倫理規範があるのに、テック業界にはそういうものがかなり欠けているように見える
      インターネットだけを見ても、「実験」する時間は40年ほどあった。今は結果、結論、そしてある程度成熟した成果物が出てくるべき時だ
      [0] https://news.ycombinator.com/context?id=39253045
    • これは本当に実験なのか、それともWi-Fi接続を付けて機器により高い値札を付けるためだけなのか
      製品Xをもっと高く売るにはどうすればいい? Wi-FiとAIを付ければいい。ほとんど何にでもこれができる
    • 最初に彼らはThe Onionを捕まえに来た
      私はOnionのライターではなかったので声を上げなかった
      次にBlack Mirrorを捕まえに来た
      私はMirrorのライターではなかったので声を上げなかった
      次にHorselover Fatのところへ来た……
      正気はすでにここにある。ただ均等に分布していないだけだ
    • これは実験ではない。すでにSaaSというおなじみの略語まで持つ、完成したビジネスモデルだ
      「なぜ」かは明らかだ。人間の行動に関する集計データには常に市場がある
    • 子どもに正直さを教える必要はない。ただ子どもの歯ブラシを監視すればいいのだから
  • Stanislav Lemが、洗濯機が賢くなって支配していく「Washer Tragedy」を書いたが、こういう歯ブラシを見たら誇りに思っただろう

  • 2037年に避けようもなく訪れるインターネット・ディルド戦争が怖い。何百万ものネットワーク接続ディルドと冷蔵庫がインターネット全体に大混乱を引き起こして数十億ドルの損害を出し、「容疑者はいまだ逃走中」となるシナリオ

    • 「ChatGPT対応インターネット接続ディルド」は、ネットコメント投稿者に向けた致命的な侮辱だ
    • 2022年にすでにスマートディルド事件があったのでは?
      連携アプリが作成した音声録音が流出したという内容だったと思う