ニュース, Privacy

ヤーボ、飼い主を轢き殺しかねないロボットの欠陥についてコメント

ピーター・アルンツ| 2026年5月11日
芝刈り機

ある研究者が、Yarbo社の庭用ロボットに多数の脆弱性が存在することを発見した。その中には、攻撃者がWiFi 盗み出すことを可能にするものもあった。

セキュリティ研究者のアンドレアス・マクリス氏は、世界中の何千台ものYarbo製庭用ロボットを遠隔操作で乗っ取ることができることを発見し、自身の芝刈り機に轢かれるという実演によってその事実を証明した。根本的な原因は、「レガシー」な設計上の問題が複合的に重なっていたことにある。すべてのロボットが同じハードコード化されたルートパスワードを共有していたこと、リモートトンネルが開放されたままになっていたこと、そしてMQTT(Message Queuing Telemetry Transport)通信の保護が極めて脆弱であったため、1台のデバイスを制御できれば、事実上、世界中の全ロボット群を掌握できる状態になっていた。

攻撃者は、GPS座標、メールアドレス、Wi-Fiパスワードを盗み出し、カメラを遠隔監視ツールに変え、さらには誰かが緊急停止ボタンを押した後でも芝刈り機を再起動させることが可能だ。 

これらすべては、ユーザーには見えもせず、実質的に制御することもできない、永続的なバックドアトンネルによって可能となった。リスクは、大きく分けて以下の3つのカテゴリーに分類される:

  • 遠隔操作可能な刃を備え、緊急停止機能を無効にできる大型芝刈り機は、現実的な安全上の危険をもたらす。
  • テレメトリ情報が公開されていたため、攻撃者はデバイスの位置を特定したり、所有者を確認したりすることができ、一部の報告ではカメラの映像まで閲覧できたという。
  • 共有されたroot認証情報を利用したネットワークの悪用により、侵害されたロボットはローカルネットワークをスキャンしたり、さらなるデータを盗み出したり、あるいはボットネットに組み込まれたりする可能性があった。

Yarboの公式対応は一般消費者向けIoTベンダーとしては異例なほど詳細なものだ。また、研究者の主要な調査結果が正確であったことを率直に認めている点も、清々しいほどだ。同社は、リモート診断トンネルを一時的に無効化し、rootパスワードをリセットし、認証されていないエンドポイントをロックダウンするとともに、不要なレガシーアクセス経路の削除に着手した。

さらに重要なことに、ヤーボは構造的な改革を約束している:

  • デバイスごとに固有の認証情報。
  • 無線(OTA)による認証情報のローテーション。
  • 監査済みの、ホワイトリスト方式によるリモート診断。
  • セキュリティに関する専任の窓口を設けており、今後バグ報奨金制度を導入する可能性があります。

IoT関連のトラブルが発生した後、これほど明確に説明されることはめったにない、まさにそうした長期的なセキュリティ対策の在り方だ。

情報開示と是正措置の観点から見ると、Yarboは多くの点で適切な対応をとっている。具体的には、研究者に謝意を表し、謝罪を行い、修正を優先的に進めるとともに、短期的なパッチと長期的なアーキテクチャの変更について、平易な言葉で説明している。ブレードを搭載したコネクテッドデバイスの購入者にとって、こうした透明性は好ましい先例となるだろう。

しかし、Yarboは、ユーザーにこのリモートアクセストンネルを削除したり完全に無効にしたりする選択肢を提供するのではなく、より厳格な管理とログ記録の仕組みで包み込む形ではあっても、あえてこのトンネルを維持することを選択した。

IoTデバイスのセキュリティ対策

ヤーボ事件で明らかになった脆弱性は、米国政府のシステム導入において「IoTサイバーセキュリティ 改善法」が防止しようとしている事態を、まるで実演のように如実に示している。同法はヤーボ社に直接適用されるものではないが、米国国立標準技術研究所(NIST)が策定した要件は、今回の問題点と見事に符合している。

つまり、以下の点を確認するのは依然としてユーザー自身の責任となります:

  • デフォルトの認証情報を変更してください。
  • IoT製品を購入する前に、ベンダーがアップデートを提供するかどうか、またそのインストールがどれほど簡単かを確認してください。そして、アップデートが利用可能になったら、速やかにインストールしてください。
  • 可能であれば、IoTデバイスは別のネットワークに接続してください。利用可能な場合は、ゲスト用Wi-Fiまたは別のVLANを使用してください。
  • 必要のない機能は無効にしましょう。UPnP、リモートアクセス、クラウド制御、および現在使用していない不要なサービスは、すべてオフにしておきましょう。
  • ルーターやセキュリティソフトがIoTデバイスからの接続を記録している場合は、そのログをざっと確認し、不自然な急増や不明な接続先がないかチェックしてください。

正直なところ、シークレットウィンドウには限界があります。

情報漏洩、ダークウェブでの取引、クレジットカード詐欺。Malwarebytes Identity Theft これらすべてを監視し、迅速に警告を発し、さらに個人情報盗難保険も付帯しています。 

著者について

ピーテル・アルンツ

ピーテル・アルンツ

マルウェアインテリジェンス研究者

コンシューマー・セキュリティ部門で12年連続マイクロソフトMVP。4ヶ国語を操る。リッチなマホガニーと革張りの本の匂い。

最新記事

Privacy
Yahoo!メールのロゴ

Malwarebytes 一部のYahoo MailのリダイレクトをMalwarebytes 理由

5月14, 2026

一部のYahoo Mailユーザーは、不審なサードパーティのドメインへのバックグラウンド接続が原因で、Malwarebytes 繰り返し表示される場合があります。その理由をご説明します。

バグ
マイクロソフト ロゴ

2026年5月のパッチ・チューズデー:ゼロデイ脆弱性は確認されていないが、修正すべき点は多数ある

5月13, 2026

5月の「パッチ・チューズデー」は、多くの人が予想していたような大規模なリリースではないかもしれませんが、それでも無視すべきではない重要な修正が数多く含まれています。

ニュース
クロード ロゴ

偽のクロードに関する検索結果が、Mac ClickFix攻撃へと誘導している

5月12, 2026

研究者らは、偽の「Claude」設定ガイドMac 騙し、自らにマルウェアを感染させるように仕向けるClickFixキャンペーンを発見した。

関連記事

投稿者アイコン

投稿者

脅威センターのアイコン

スレットセンター

ポッドキャスト・アイコン

ポッドキャスト

用語集アイコン

用語集

詐欺アイコン

詐欺