C
月内に
Shark製ロボット掃除機(RV2320EDUS等)において、デバイスから抽出した証明書を使用して同一AWSリージョン内の他者のデバイスを制御できる脆弱性
📌 一言でいうと
Shark製ロボット掃除機(RV2320EDUS等)において、デバイスから抽出した証明書を使用して同一AWSリージョン内の他者のデバイスを制御できる脆弱性が報告されました。攻撃者はカメラの操作、ロボットの走行制御、自宅マップの閲覧、Wi-Fiパスワードの平文取得などが可能です。この問題は証明書のスコープが適切に制限されていないことに起因しており、メーカーのSharkNinja社には既に報告されていますが、現時点では未修正の状態です。
🔍該当判定
- 社内で「Shark」ブランドのロボット掃除機を導入・利用している
- 社内設備として「SharkNinja」社製のスマート家電を設置している
- オフィスや店舗の清掃に「Shark RV2320EDUS」などのロボット掃除機を使用している
上記いずれにも該当しない → 静観でOK
✅該当時の対応
メーカーから修正パッチが提供されるまで、デバイスのファームウェア更新を随時確認してください。また、IoTデバイスのセキュリティリスクを軽減するため、IoT専用の分離されたネットワーク(ゲストネットワーク等)での運用を検討してください。