- 中国の Sipeed が開発した NanoKVM は、PC やサーバーを遠隔で制御できる超小型の ハードウェア KVM スイッチとして、低価格とオープンソース公開の約束から注目を集めた
- デバイスは HDMI・USB-C・イーサネットポートを備え、ブラウザ経由でリモート制御が可能で、BIOS へのアクセスや電源制御までサポート
- しかし、デフォルトパスワード、ハードコードされた暗号鍵、中国 DNS サーバーへの依存、検証されていない更新通信など多数のセキュリティ脆弱性が発見された
- 特に、公式ドキュメントに明示されていない 2×1mm の内蔵マイク があり、
SSH 接続後の amixer と arecord コマンドで録音できることがわかった
- オープンソース構造のおかげで カスタム Linux ディストリビューションのインストールとマイクの除去が可能だが、この事例は 小型 IoT 機器の潜在的な盗聴リスクを浮き彫りにした
NanoKVM の概要と作動方式
- NanoKVM は Sipeed が製作した RISC-V ベースのハードウェア KVM スイッチで、遠隔からコンピューターを制御できるデバイス
- HDMI で映像信号を受け取り、ブラウザ上に画面を表示
- USB を通してキーボード、マウス、CD-ROM、USB ドライブ、ネットワークアダプターをエミュレート
- ソフトウェアのインストールなしで物理接続だけでリモート制御が可能で、BIOS へのアクセスと電源管理として 電源のオン・オフ・リセットを実施できる
- フルモデルは約 60ユーロ、ミニモデルは 30ユーロで、競合製品 PiKVM よりはるかに安価
- RISC-V アーキテクチャに基づくオープンソースとして作られており、メーカーはほとんどのコードを オープンソースとして公開している
初期欠陥とセキュリティ問題
- 初期ロットは HDMI 信号認識エラーでリコールされ、その後ソフトウェア開発が急速に進められた
- 出荷時にデフォルトパスワードが設定されたまま、SSH アクセスが有効になっていた
- メーカーに報告後修正されたものの、なお多数の脆弱性が残っている
- Web UI には CSRF 保護の欠如、セッション無効化不可、全デバイスで同一の暗号化キー使用など重大な構造的欠陥が存在
- デバイスは 中国 DNS サーバーをデフォルトで使用し、Sipeed サーバーと通信して更新や閉鎖的なコンポーネントをダウンロードしていた
- 認証キーが平文保存され、更新の完全性検証がない
- WireGuard の変種が一部のネットワークで動作しない
systemd、apt を除去した 縮小版 Linux を使用
組み込みハッキングツールと疑わしい構成
- デバイス内に tcpdump と aircrack が含まれている
- ネットワークパケット解析や無線セキュリティテスト用だが、攻撃ツールとして悪用可能
- 開発中のデバッグ用途だった可能性はあるが、製品版に含まれているのは不適切
隠しマイクの発見
- 公式文書に記載されていない 超小型 SMD マイク(2×1mm) が内蔵されている
SSH 接続後、amixer と arecord コマンドで高音質のオーディオ録音が可能- 録音ファイルは他のコンピューターにコピー、あるいはリアルタイムストリーミングも可能
- マイクの取り外しは可能だが、分解が難しく、顕微鏡レベルの精密作業が必要
- デバイスには既に録音ツールがプリインストールされており、セキュリティ上非常に危険な構成
オープンソースの代替策と対処可能性
- オープンソース構造のため、ユーザー定義 Linux ディストリビューションのインストールが可能
- 1人のユーザーが Debian ベースのカスタム OS の移植を進めており、現在 Ubuntu 対応へ拡張中
- インストールは SD カードを取り外して新しいソフトウェアをフラッシュする方式
- ユーザーはマイクを取り除くことも、逆にスピーカーを接続してオーディオ再生デバイスとして利用することも可能
- テストでは 8Ω 0.5W スピーカーで良好な音質を確認
- PiKVM も最近 双方向オーディオ機能を追加
結論と拡張されたリスク意識
- NanoKVM は デフォルトパスワード、中国サーバー通信、ハッキングツール同梱、隠しマイクなど多くのセキュリティリスクを抱えている
- これらの問題は不注意と急いだ開発から来たものと見られるが、ユーザーにとってはなお重大な危険性がある
- 記事は「家庭内にどれだけ隠れた機能を持つデバイスがあるのか」という問いを提示する
- Apple Siri が私的会話を録音して 95,000,000 ドルの和解金に至った事例、
- Google 音声アシスタントに関する訴訟、
- Apple が警察向けに非公開監視教育を行ったとの報道などを言及
- 結果として、中国製だけでなくグローバル IT 企業のプライバシー姿勢も警戒すべき
付録: NanoKVM でのオーディオ録音方法
SSH 接続後、次のコマンド実行でマイクをテスト可能
amixer -Dhw:0 cset name='ADC Capture Volume 20' : マイク感度を設定arecord -Dhw:0,0 -d 3 -r 48000 -f S16_LE -t wav test.wav & > /dev/null & : 3秒間録音
- 録音した
test.wav ファイルをコピーして再生可能
2件のコメント
Hacker Newsの意見
おそらくKVM製品にマイクを入れる意図はなく、既存のSBCボードの流用でコストを下げようとしたのだと思われる
もちろんそれを明確に知らせなかったのは問題であり、ファームウェアのセキュリティ問題もあって印象は良くない
ただし「中国製KVMに隠されたマイク」という表現は、やや誇張されて想像力を煽っている
セキュリティ文書がほとんどないため、まるで紙切れ同然のセキュリティしかないように見える
現在この装置を販売しながら、動作可能なマイクがある事実を公開していない
実際それほどのアクセスが可能ならKVMのI/O全体を読むこともできるはずだ
むしろキーロガーのような機能の方が危険なので、オープンソースソフトウェアをサポートする装置を使うのがよい
本当の問題はハードコードされたJWT秘密鍵、root権限での実行などであり、
中国DNSやsystemdがないこと自体はまったく不自然ではない
tcpdumpやaircrackが入っていることも、セキュリティ上は大差ない
ほとんどの利用者はWebインターフェースを外部に公開しないだろうし、Tailscaleが標準搭載されているのはむしろ印象的だ
「奇妙なWireGuardバージョン」への言及は単なる誤解である可能性が高い
この会社はもともと開発用ボードとSoCを作っており、GitHubでコード公開もしている
しかもSiSpeedはRISC-VメインラインLinuxにも貢献している
組み込みセキュリティはどの国でも総じて脆弱だ
クラウドファンディングプロジェクトの限界として理解できるが、
筆者はこれを悪意あるハッキングの試みと解釈したようだ
実際、多くのボットネットがパッチ未適用の旧型ルーターから形成された例がある
「プライバシー重視を掲げるAppleですらこうなのだから」という類いのクリックベイト文は理解できるという話
原告側も録音が偶発的な起動によるものだったと認めており、
Appleがそれをターゲット広告に使った証拠はない
単にSiri改善のため、外部契約業者に一部データを提供しただけだ
複数PCを共有する一般的なKVMだったが、ある日独自のIPでGB単位のトラフィックを送っているのを発見した
すぐにネットワークを遮断したが、画面キャプチャと入力機器へのアクセスが可能だったため、
ひょっとするとデータが流出したのではと心配になり、電子ゴミとして廃棄した
ネットワーク接続型KVMがどれほど危険になり得るかを思い知った
他の人への警告になったはずだ
一部のネットワークKVMはリモート制御アプリのためにそうした機能を使う
GNOMEもないだろうし、そんなことを問題にするのはおかしい
busyboxさえあれば十分なくらいだ
むしろ安価なフィルムコンデンサを使って高級ADCに接続した方が、より巧妙にできるかもしれない
アナログオーディオ設計ではこうしたノイズ特性が重要であり、
周波数ごとに異なるコンデンサとデジタル処理を組み合わせれば、
安価なマイク並みの音質再現も可能だ
ミスだとしても不注意であり、家庭で使うなら深刻なリスクになり得る
aptがないこと自体がセキュリティ問題になるわけではない
インターネットベースのKVMは信頼しにくいと感じる
もともと基板自体にマイクが含まれており、NanoKVMはそのボードをベースに作られたものだ
興味を引くための刺激的な文言が多少あるとしても、十分に注意すべき内容ですし、反論するコメントも中身が良いですね