チェック・ポイント 市場をリードするドローン・プラットフォームに脆弱性を発見 DJI製ドローンのユーザ・アカウントへの不正アクセスを可能にするセキュリティ上の欠陥が明らかに
- 2018年11月29日 15:00:00
- マネー
- Dream News
- コメント
米カルフォルニア州サンカルロス - 2018年11月8日--ゲートウェイからエンドポイントまで、包括的セキュリティを提供するチェック・ポイント・ソフトウェア・テクノロジーズ(Check Point(R) Software Technologies Ltd. NASDAQ: CHKP)は、市場をリードするドローン・プラットフォームに脆弱性を発見しました。当社の研究者と、民生用ドローンおよび空中ディスプレイ技術の世界的リーダーであるDJIは、DJIが悪用された場合、そのインフラストラクチャに影響するおそれのある脆弱性の情報を公開しました。
チェック・ポイントの研究者は、DJIのバグ報奨プログラムの規定に従って提出したレポートにおいて、同社のユーザ・アカウントへの不正アクセスを可能にする攻撃手順を報告しました。この手順では、同社が運営するオンライン・フォーラムDJI Forumのユーザ識別プロセスに存在する脆弱性を悪用します。同社のプラットフォームでは、顧客サービスの複数の場面で登録ユーザの識別にトークンを使っており、このトークンがアカウントへの不正アクセスに悪用される可能性があります。
写真、動画、フライト・ログを含むドローンの飛行記録をDJIのクラウド・サーバに同期していた個人ユーザと、ライブ・カメラ、録音、マップ・ビュー機能を搭載するDJI FlightHubソフトウェアを使用していた法人ユーザは、この脆弱性の影響を受けた可能性があります。ただし、問題の脆弱性はすでに修正されており、これまでに悪用された証拠も見つかっていません。
DJIのバイスプレジデント兼北米担当カントリー・マネージャを務めるマリオ・レベロ(Mario Rebello)氏は、「チェック・ポイントの研究者による、深刻な脆弱性について責任ある開示手法に則った問題報告に感謝しています。これこそ、まさに弊社がバグ報奨プログラムを策定した理由です。テクノロジー企業は、例外なく、サイバー・セキュリティの強化は終わりのない継続的なプロセスであることを理解しています。弊社にとって、ユーザ情報の保護は最優先事項です。そのため、チェック・ポイントのような責任あるセキュリティ研究者との継続的な共同作業に積極的に取り組んでいます」と述べています。
チェック・ポイントの製品脆弱性調査担当責任者であるオーデッド・ヴァヌヌ(Oded Vanunu)は、「DJIのドローンのように、広く利用されている製品に関連する脆弱性は、迅速かつ確実に対処されなければなりません。同社がまさにそのように対応してくださったことに感謝申し上げたいと思います。今回明らかになったように、重要情報が複数のプラットフォームで利用されている場合、1つのプラットフォームで流出しただけで、インフラストラクチャ全体が侵害される可能性があるため、このようなシステムを運用する組織は注意が必要です」と述べています。
チェック・ポイントのレポートを確認したDJIのエンジニアは、バグ報奨プログラムの規定に従い、問題の脆弱性を「高リスク/低確率」と評価しました。確率が低いのは、悪用のためには一定の条件を満たす必要があるからです。DJIのユーザは、常に最新版のパイロット・アプリ「DJI GO」または「DJI GO 4」を使用するようにしてください。
DJIのユーザに限らず、すべてのユーザに対しては、オンラインで情報をやり取りする際、警戒を怠らないように助言します。他のユーザとやり取りする際は、安全なオンライン活動のための注意事項に従い、ユーザ・フォーラムやWebサイト上のリンクを安易にクリックしないようにしてください。
本脆弱性の詳細な技術分析については、Check Point Researchのブログ(https://research.checkpoint.com/dji-drone-vulnerability/)をご覧ください。
本リリースは、米国時間11月8日に配信されたものの抄訳です。
英文オリジナルはこちら:
https://blog.checkpoint.com/2018/11/08/the-spy-drone-in-your-cloud/
■チェック・ポイントについて
チェック・ポイント・ソフトウェア・テクノロジーズ( www.checkpoint.com )は、世界各国の政府機関や企業など、あらゆる組織に対応するサイバー・セキュリティ・ソリューションを提供する大手プロバイダーです。業界随一の検出率を誇る先進のソリューションにより、お客様のネットワークを、マルウェアやランサムウェアなどの多岐にわたる第5世代のサイバー攻撃から保護します。企業のクラウドやネットワークのほかモバイル・デバイスに保存されている情報を、今日の第5世代のサイバー攻撃を含めてあらゆる脅威から保護するため、第5世代の脅威に対応するマルチレベルのセキュリティ・アーキテクチャを備え、直感的で操作性に優れた総合的かつ一元的なセキュリティ管理システムを展開しています。世界の10万以上の組織・企業がチェック・ポイントのセキュリティ製品を利用しています。
Loading...
アクセスランキング
石橋貴明の弁明にタレントがチクリ「風俗以外で記憶が曖昧になるほど異性に…」
いとうあさこ、若い女性共演者が窃盗 疑惑の段階でかばうも裏切られ余罪が多数発覚
大谷翔平、衝撃6号のドジャースタジアムに韓国グループ「TREASURE」訪問「カッコイイ!」
ばあちゃんちの天井照明、まさかのガチャ化 引き紐で光るレトロストラップ
成田国際空港T2に「YA-MANカウンター」、4月23日オープン Fa-So-La DUTY FREE Cosmetics & Perfumery店内
大谷翔平、衝撃先頭弾にNHK解説陣うなる「球場の雰囲気変わりますね」飛距離「麻痺してきた」
元日向坂46メンバー「アイコンも初期設定。何も情報を与えないように」漏洩対策を明かす
木下博勝氏、石橋貴明セクハラ報道に私見「バブル時代のことを言われたら…」
古市憲寿氏、給食無償化は「基本賛成」子どもの社会保障が「無視されてきた」
少子化対策に新たな一手!各種給付金や申請時期を瞬時に自動計算『出産手当金・育児休業給付金自動計算ツール』を公開
昨年引退した元AV男優しみけん「やめてよかったですか?」問いに即答「うん」その理由とは?
42歳ブレイキングダウン選手、東京駅でケンカ売られ取った行動に「尊敬する」「真似しよ」X拍手
八代亜紀さんのヌード写真封入アルバム発売、所属事務所が「警察にも相談中」公式コメントを発表
万博トイレに不満や疑問噴出 元宝塚女優「なんでこんな事をするのだろう」
21歳元グラドルが免許合宿でのセクハラ報告、教官に言われた衝撃ワードを告発→大問題→教官退社
辛坊治郎氏「この惨状をメディアが報じないので改善は?」と疑問 大阪万博の初日リポート
武蔵野東学園、卒業生らに7億円を請求 在学中に理事長を刑事告訴
元プロ野球選手大島康徳さんの妻奈保美さん「私はずーっと耐えてきました」執拗な誹謗中傷に怒り
60歳女優“性接待””やらせ”激白「今晩相手してよね」拒絶後「降ろされた」教授初講義で
二階堂ふみが結婚!?お相手が衝撃的過ぎてネット民「マジか・・・」
多部未華子(30)結婚の裏事情あまりにも恐ろしすぎると話題に!
二階堂ふみが結婚!?お相手が衝撃的過ぎてネット民「マジか・・・」
中居正広氏、14年前に脳科学者が「女性におぼれて芸能界追放」と“予言” X騒然「すごい」
広末涼子容疑者は奈良から車で移動中だった「なかなか厳しいのでは」識者が疑問呈す
広末涼子容疑者の元夫キャンドル・ジュン氏が繰り返した語った言葉「心が…」がネットで再注目
自称広末涼子容疑者逮捕「涙出てくる。悔しい」“本物”は全国TVで社長の苦悩語ったばかり
孤独のグルメで旨そうだった「トマトの酢漬け」のおいしい作り方! フレッシュな旨味がキューッとくるっ
小澤征悦と再婚した桑子真帆アナ(34)黒い過去が流出、衝撃の過去にネット騒然
昨年引退した元AV男優しみけん「やめてよかったですか?」問いに即答「うん」その理由とは?
広末涼子容疑者の逮捕は“異例”弁護士見解に小説家の医師「我々はサンドバッグじゃなくて人間」
Tips
おすすめ
石橋貴明の弁明にタレントがチクリ「風俗以外で記憶が曖昧になるほど異性に…」
いとうあさこ、若い女性共演者が窃盗 疑惑の段階でかばうも裏切られ余罪が多数発覚
大谷翔平、衝撃6号のドジャースタジアムに韓国グループ「TREASURE」訪問「カッコイイ!」
ばあちゃんちの天井照明、まさかのガチャ化 引き紐で光るレトロストラップ
大谷翔平、衝撃先頭弾にNHK解説陣うなる「球場の雰囲気変わりますね」飛距離「麻痺してきた」
成田国際空港T2に「YA-MANカウンター」、4月23日オープン Fa-So-La DUTY FREE Cosmetics & Perfumery店内
元日向坂46メンバー「アイコンも初期設定。何も情報を与えないように」漏洩対策を明かす
木下博勝氏、石橋貴明セクハラ報道に私見「バブル時代のことを言われたら…」
古市憲寿氏、給食無償化は「基本賛成」子どもの社会保障が「無視されてきた」
少子化対策に新たな一手!各種給付金や申請時期を瞬時に自動計算『出産手当金・育児休業給付金自動計算ツール』を公開