Mars Hydro と LG-LEDSOLUTIONS LIMITED が関与し、Wi-Fi 名やパスワードを含む 27 億件を超える機密 IoT データが流出し、IoT デバイスのセキュリティやクラウド ストレージの脆弱性、ネットワーク侵入などのリスクが浮き彫りになりました。

最近、大規模なモノのインターネット (IoT) セキュリティ侵害により、Wi-Fi ネットワーク名、パスワード、IP アドレス、デバイス識別子などの機密ユーザー データを含む 27 億件の情報が流出しました。この事件は、中国の植物育成ライトメーカー MarsHydro とカリフォルニア州登録会社 LG-LEDSOLUTIONSLIMITED に関連しています。

サイバーセキュリティ研究者のジェレミア・ファウラー氏は、保護されていないデータベースを発見し、vpnMentor に報告しました。このインシデントは、IoT デバイスのセキュリティとクラウド ストレージの実践における深刻な脆弱性を浮き彫りにしました。

一般にアクセス可能なデータベースは合計 1.17 TB で、パスワード保護や暗号化はありません。これには、世界中で販売されている次のような IoT デバイスのログ、監視記録、エラー レポートが含まれています。

  • Wi-FiSSID (ネットワーク名) とクリアテキストのパスワード。

  • IP アドレス、デバイス ID、MAC アドレス、およびオペレーティング システムの詳細 (iOS/Android)。

  • API トークン、アプリケーションのバージョン、および「Mars-pro-iot-error」または「SF-iot-error」というラベルの付いたエラー ログ。

    • MarsHydro の MarsPro アプリは、IoT 植物育成ライトと気候システムの制御に使用されており、そのプライバシー ポリシーではユーザー データを収集しないと主張しているにもかかわらず、アプリは依然としてこのデータを収集していると伝えられています。

    さらなる調査により、これらの記録はカリフォルニア州に登録された会社 LG-LEDSOLUTIONSLIMITED に関連していることが判明しました。流出したデータには、農業用栽培灯、ファン、冷却システムを製造・販売するLG-LEDSOLUTIONS、MarsHydro、SpiderFarmerという企業へのAPIの詳細とURLリンクも含まれている。

    レコードの多くは「Mars-pro-iot-error」または「SF-iot-error」というラベルが付けられており、トークン、アプリのバージョン、デバイスの種類と IP アドレス、SSID 資格情報が含まれています。

    ファウラー氏はすぐに LG-LEDSOLUTIONS と MarsHydro に通知し、数時間以内にデータベースへのアクセスが制限されました。 MarsHydro は、「MarsPro」アプリが同社の公式製品であり、アプリが iOS および Android プラットフォームで複数の言語をサポートしていることを確認しました。

    ただし、LG-LEDSOLUTIONSがデータベースを直接管理しているのか、それとも第三者委託業者を利用しているのかは不明である。また、データベースがどのくらいの期間公開されていたのか、また権限のない第三者がデータベースにアクセスしたかどうかも不明です。データの漏洩は深刻なリスクをもたらします。

  • ネットワークへの侵入: 攻撃者は、公開された Wi-Fi 認証情報を利用してホーム ネットワークやビジネス ネットワークにアクセスし、中間者攻撃、データ傍受、またはランサムウェアの展開を実行する可能性があります。

  • ボットネットの募集: Matrix ハッキング グループが関与した最近の事件に見られるように、感染した IoT デバイスは DDoS 攻撃に使用するためにハイジャックされる可能性があります。

  • 物理的脅威: 悪意のある攻撃者が、接続された栽培用ライト、ファン、冷却システムを操作し、作物に損害を与える可能性があります。

    • ファウラー氏は、2024年にロシアのGRUハッカーが近くのWi-Fiネットワーク経由でウクライナの組織を侵害するために使用する戦術である「最近傍攻撃」の可能性を特に強調した。

    パロアルトネットワークスの脅威レポートは、IoT デバイス データの 98% が暗号化されておらず、デバイスの 57% が非常に脆弱であるという背景を提供しています。

    このインシデントは、IoT セキュリティの体系的な欠陥を反映しています。

  • 弱い暗号化: 多くのデバイスは WPA2 などの古いプロトコルに依存しているため、ブルート フォース攻撃に対して脆弱です。

  • デフォルトのパスワード: ユーザーは工場出荷時の設定を変更しないことが多く、デバイスが危険にさらされたままになります。

  • 一元管理されたクラウド ストレージのリスク: 保護されていないサーバーに大量のデータを保存すると、単一障害点が発生します。

    • 特に、研究者らは、この漏洩には、2019 年に中国のスマート デバイス ブランド Orvibo によって公開されたのと同じデータベースが関与している可能性があると推測しています。専門家は、IoT メーカーとユーザーに対し、次の措置を講じるよう促しています。

  • 機密ログを暗号化し、平文の資格情報をトークン化された値に置き換えます。

  • ネットワークをセグメント化して、IoT デバイスを重要なシステムから分離します。

  • 定期的な監査と侵入テストを実施します。

    • MarsHydro と LG-LEDSOLUTIONS は、この漏洩の原因やサードパーティの関与の可能性についてはまだコメントしていません。ファウラー氏は、自身の調査結果は「意識を高める」ことを目的としており、現時点では直接的な虐待の証拠はないことを強調した。