Amazon EchoとKindleの脆弱性、解決済みか否か確認する方法：2年前から存在するKRACK

データののぞき見が可能になってしまう脆弱性が2017年に発見された。あなたのAmazon EchoとKindleにも「KRACK」の脆弱性が残っているかもしれない。早急に確認しよう。

[Alex Scroxton，Computer Weekly]

　スロバキアのウイルス対策とファイアウォールの専門企業ESETの脅威研究者は、Amazon.comの第1世代「Amazon Echo」と第8世代「Amazon Kindle」に脆弱（ぜいじゃく）性が残っていると警告している。これらは「KRACK」（Key Reinstallation Attack：鍵再インストール攻撃）Wi-Fiエクスプロイトによって侵害される可能性が残っており、Amazonの数百万の顧客が端末を最新状態に更新できないでいることを示唆した。

　攻撃者がこの脆弱性を悪用すると、このハンドシェイクの操作を再生して端末を欺き、既に使用中の鍵を再インストールできるようになる。するとWi-Fiネットワークを通過するデータをのぞき見ることが可能になる。

　Synopsysでシニアセキュリティエンジニアを務めるボリス・チポット氏は次のように話す。「こうした経緯は、特にAmazon端末に懸念を残し続ける。KRACKの脆弱性は、ユーザーがWi-Fiに接続する際に、以前はセキュリティが確保されていると想定されていたデータを攻撃者がのぞき見できるという厄介な欠陥になる」

　ESETはAmazon EchoとKindleに欠陥が残っていることを12カ月前にAmazonに通告した。　「当社は少なくとも3種類のAmazon端末で複数の欠陥を特定した。その製品の販売数から、セキュリティのリスクは極めて広範囲に及ぶ恐れがある」

　「Amazon Web Servicesとの取引関係があり、Amazon IDを所持している場合、そのIDは自宅、銀行口座、クレジットカードにリンクされていることが多いことに注意が必要だ。Amazonは共通コンポーネントとその使用状況全てについて、すぐにでも慎重に検討すべきだ」

関連記事

• 期待のストレージクラスメモリ、Z-NAND、3D XPoint、MRAMを理解しよう
• SCMと永続メモリが実現するストレージボトルネックの解消

特別編集ブックレット

• ITセキュリティにおけるAI導入戦略ガイド

　Synopsysのチポット氏は次のように述べる。「Amazon Echoにパッチが正しくインストールされたかどうかは、Alexaに『ソフトウェアアップデートをチェックして』と頼むとチェックできる。また、スマートフォンアプリ（Amazon Alexa）を使って『デバイス』で『Echo・Alexa』を選択し、手動でチェックすることも可能だ。そこから『詳細』（About）に進むと、端末に関連する最新のソフトウェア情報を確認できる。利用可能な最新バージョンは641571120だ」

　「Kindleにパッチが正しくインストールされているかどうかをチェックするには、ホーム画面で『設定』に移動し、メニューボタンをクリックしてデバイス情報を開く。端末には最新バージョン（5.12.1）がインストールされている必要がある。インストールされていない場合は、このバージョンを直ちにインストールする必要がある」

　ESETの研究チームは、Amazon EchoにはKRACKとは関係のない脆弱性があることも明らかにしている。それにより、ユーザーはブロードキャストリプレイ攻撃にさらされたままの状態になる。この攻撃は、有効な通信を頻繁に繰り返し、標的となる端末がこの通信を受け取る。これを悪用して分散型サービス拒否（DDoS）攻撃を仕掛けられたり、将来のブルートフォース攻撃に向けてパケットを収集されたりする恐れがある。