Fortinet「スマート歯ブラシ300万台DDoSは実際の事件ではない」…最初の報道メディアは反論
(tomshardware.com)- Fortinetは、スマート歯ブラシ300万台がDDoS攻撃に使われたという報道について、実際の事件ではなく攻撃タイプの例だったと訂正したが、最初に報じた Aargauer Zeitung は、Fortinetが実際の事例として説明したと反論している
- 最初の報道では、JavaベースのOSを使うスマート歯ブラシがマルウェアに感染してボットネット化し、スイス企業のWebサイトを4時間まひさせ、数百万ユーロの被害を与えたと伝えた
- Fortinetは、この話はFortinetまたは FortiGuard Labs の研究に基づくものではなく、翻訳の過程で仮想シナリオと実際の事例の境界が曖昧になったと説明した
- Aargauer Zeitungは、Fortinetスイス担当者が会議と掲載前の原稿確認の過程で、「実際に起きた事件」という表現を訂正しなかったと反論している
- 真偽をめぐる論争とは別に、接続された歯ブラシ・ルーター・監視カメラのような IoT機器 は攻撃対象やボットネット資源になり得るため、アップデートとネットワーク監視が必要だ
Fortinetの訂正とAargauer Zeitungの反論
- Fortinetは、スマート歯ブラシ300万台がDDoS攻撃に使われたという報道は不正確だと訂正した
- 歯ブラシの事例は、インタビュー中に特定の攻撃タイプを示す 例 だったと説明した
- この内容はFortinetまたは FortiGuard Labs の研究に基づくものではない
- 翻訳の過程で、仮想シナリオと実際の事例が混ざったストーリーが作られたとみている
- Aargauer Zeitungは、Fortinetの「翻訳の問題」という説明を受け入れていない
- Fortinetスイス担当者が、現在の脅威を議論した場で歯ブラシの事例を実際のDDoS攻撃として説明したと述べている
- 攻撃でスイス企業のWebサイトがどれほど長く停止したか、被害規模がどの程度だったかという具体的な情報もFortinetが提供したという
- 被害企業名は、Fortinetが顧客への配慮から公開しなかったと説明した
- 掲載前に原稿がFortinetへ確認用として送られ、実際の事件という表現にも異議がなかったと反論している
最初の報道で示された攻撃内容
- 最初の報道では、約 300万台のスマート歯ブラシ がハッカーに感染させられ、ボットネットに組み込まれたと伝えた
- このボットネットはスイス企業のWebサイトに DDoS攻撃 を実行し、Webサイトは攻撃負荷に耐えられず停止したとされる
- 攻撃は4時間続き、被害は数百万ユーロ規模の営業損失につながったと伝えられた
- 原文には「ハリウッドのシナリオのように見えるこの例は、実際に起きた」という趣旨の文が含まれており、ドイツ語メディアGolem.deもこれを実際の事件として報じた
- 複数のドイツ語話者は、「実際に起きた」という翻訳が正確だと確認している
技術的説明と残る不確実性
- 最初の報道では、問題の歯ブラシボットネットが JavaベースのOS によって脆弱だった可能性を示した
- 特定のスマート歯ブラシのブランドは言及されていない
- スマート歯ブラシの通常の接続機能は、ユーザーの口腔衛生習慣を追跡し改善する用途だった
- マルウェア感染後、それらの歯ブラシはボットネットに強制的に組み込まれたと伝えられている
- 被害を受けたスイス企業の名前と詳細な被害内容は公開されていない
IoTセキュリティ警告
- Fortinetスイス支社のStefan Zügerは、インターネットに接続されたあらゆる機器が潜在的な標的、あるいは攻撃に悪用される可能性があると述べた
- 歯ブラシ以外にも ルーター、セットトップボックス、監視カメラ、ドアベル、ベビーモニター、洗濯機などが同じ範疇に含まれる
- 接続機器はハッカーによって継続的に脆弱性探索の対象となっており、機器のソフトウェア・ファームウェア製作者とサイバー犯罪者の競争が続いている
- Fortinetは、保護されていないPCをインターネットに接続すると 20分 でマルウェアに感染したと明らかにした
接続機器ユーザーがすべきこと
- 事件の詳細な真偽が議論中であっても、接続機器の所有者は機器と ファームウェア、ソフトウェアを最新の状態に保つべきだ
- ネットワーク上の疑わしい活動を監視すべきだ
- セキュリティソフトウェアを導入し、使用すべきだ
- ネットワークセキュリティのベストプラクティスに従うべきだ
- Tom’s Hardwareは、新たな展開を反映して、元の見出し「Three million malware-infected smart toothbrushes used in Swiss DDoS attacks — botnet causes millions of euros in damages」を変更した
1件のコメント
Hacker News の意見
この記事は奇妙で、抜けている詳細が多い。大手のスマート歯ブラシはどれも BLE を使っていて、Wi-Fi に直接接続されるものではないと理解している
ファクトチェックしようとしたが、何も見つからなかった。BLE チップの中には Wi-Fi も使えるものが多いので、誰かがファームウェアを破損させて Wi-Fi 機能を有効にした可能性を完全に排除するわけではないが、そもそもどうやって Wi-Fi に接続してボットネットを動かしたのか疑問だ。IoT 機器のリスクという前提は今も有効だが、この記事自体はかなり懐疑的に見ている
Java ME があったことや、マイクロコントローラー上で動くマイクロ JVM もあることは知っているが、それでも辻褄が合わない。DDoS 攻撃は実際にあったし、日常的に起きていることだが、セキュリティ「専門家」たちが、こうした攻撃はどこからでも来る可能性があり、歯ブラシからでさえ来ると言った話が、翻訳の過程で詳細が抜け落ちたか、クリックベイトとして使われたように思える
https://cyberplace.social/@GossiTheDog/111886558855943676
本当にお粗末な記事だ。誰かがスマート歯ブラシ300万本が DDoS に使われたと主張しているが、何が/誰が/どのようにやったのかは誰も言っていない
こうした異例の主張には、少なくとも何らかの証拠が必要に思える。歯ブラシだと識別できるようにした技術的詳細が、最低限あってしかるべきではないか?
Bluetooth もインターネットもベンダーロックインの替えブラシもない古いPhilips の歯ブラシを使っているが、ガラスのコップの中でワイヤレス充電もできる。とても気に入っている
最近2本目を買おうとしたら、望んでもいないゴミ機能が付いた新型モデルしか見つからなかった。いったい誰が歯ブラシをインターネットにつなぎたいのか? 結局 eBay で旧型の在庫を見つけた。残酷に聞こえるかもしれないが、こういう機能を製品に入れると決めた愚か者と、それを実装した手先が、今日ひどい一日を過ごし、自分たちがしたことの賢明さを振り返ってくれることを願う
スマホアプリを使うスマート歯ブラシを使い始めてから、歯科医が私の奥歯の裏側の歯垢が明らかに改善したと見てくれた
「機器、ファームウェア、ソフトウェアを最新の状態に保ち、不審な活動を監視し、セキュリティソフトをインストールして使用し、ネットワークセキュリティのベストプラクティスに従え」という警告なら、いっそ必須認証を取得した消費者にだけスマート歯ブラシの購入を許可すべきなのかもしれない
この2つを1本の漫画として誤って記憶していたが、すべてを手に入れることはできないようだ
https://i0.wp.com/www.litterboxcomics.com/wp-content/uploads...
https://i0.wp.com/www.litterboxcomics.com/wp-content/uploads...
https://i.imgur.com/YnBnsKA.jpeg
Philipsの電動歯ブラシに関する警告: スマート機能を使わなくてもBluetoothをオフにできない
Wi-Fi対応のPhilips空気清浄機にも注意が必要。リモート制御機能を無効化できないため。設定を完了するにはスマートフォンで接続するWi-Fiホットスポットを作る必要があり、この機能を使わないと、空気清浄機が恒久的なWi-Fiホットスポットを作って悪用されるのを待つ状態になる
https://old.reddit.com/r/homeassistant/comments/1306pcw/home...
スマホアプリと時計が常に同期しようとして互いを探し続けており、代替策はペアリングを解除してから使い、またペアリングし直して同期するというものだったが、面倒すぎた。それでも実際にバッテリー持ちは良くなった。会社のカスタマーサポートにオンラインで不満を伝えたが、向こうもなぜバッテリーがそんなに悪いのか分からず、何か設定を変えたのだろうからスマホを工場出荷状態にリセットしてみろと言うだけだった。Polarに替えてから、今使っている時計は1回の充電で5日もつ。1日未満だった頃から大きく変わった
実に素晴らしい会社だ。最高のCPAPメーカーの一つを買収したあと、素材をケチって、がんリコールの収益逓減点に達し、それをできるだけ長く隠さないという選択肢がなかったわけでもないのに
そもそも歯ブラシがなぜWeb接続できる必要があるのか? 歯磨き習慣の追跡のためだというのは分かるが、LANのようなローカル接続だけでもできるのでは?
それに掃除機、冷蔵庫、洗濯機、コーヒーメーカー、そして数え切れないほど多くの「スマート」個人情報送信家電のことも忘れてはいけない。HNの人たちのうち、まさにこういう技術を作っている人がどれだけいて、この記事を読んでいる人がどれだけいて、実際に気にしている人がどれだけいるのか、アンケートを取ってみたいくらいだ
あらゆる技術は、どう使われるべきかが明確になる前に実験の時期を経るものだと思う
だから爆弾にはProject Plowshareがあり、今ではオン・オフスイッチだけで足りる機器にまでインターネット接続が付いている。接続された歯ブラシがなぜ必要なのかは少し理解できないが、ときどき歯ブラシベースのボットネットが出てくるとしても、実験精神そのものは非常に高く評価する
インターネットだけを見ても、「実験」する時間は40年ほどあった。今は結果、結論、そしてある程度成熟した成果物が出てくるべき時だ
[0] https://news.ycombinator.com/context?id=39253045
製品Xをもっと高く売るにはどうすればいい? Wi-FiとAIを付ければいい。ほとんど何にでもこれができる
私はOnionのライターではなかったので声を上げなかった
次にBlack Mirrorを捕まえに来た
私はMirrorのライターではなかったので声を上げなかった
次にHorselover Fatのところへ来た……
正気はすでにここにある。ただ均等に分布していないだけだ
「なぜ」かは明らかだ。人間の行動に関する集計データには常に市場がある
Stanislav Lemが、洗濯機が賢くなって支配していく「Washer Tragedy」を書いたが、こういう歯ブラシを見たら誇りに思っただろう
2037年に避けようもなく訪れるインターネット・ディルド戦争が怖い。何百万ものネットワーク接続ディルドと冷蔵庫がインターネット全体に大混乱を引き起こして数十億ドルの損害を出し、「容疑者はいまだ逃走中」となるシナリオ
連携アプリが作成した音声録音が流出したという内容だったと思う