「Shark」掃除機の脆弱性により、カメラ映像、自宅の地図、Wi-Fiパスワードが流出

| 2026年7月17日
サメのロゴ

Shark社のクラウド接続型ロボット掃除機は現在、修正されていないAWS(Amazon Services)のIoT(モノのインターネット)ポリシーの脆弱性にさらされており、この脆弱性により、1台の侵害されたデバイスが、同じ地域にある他の多くのデバイスを遠隔操作するための「万能鍵」となり、カメラ、地図、Wi-Fiパスワードへのアクセスが可能になる恐れがあります。

「tokay0」というハンドルネームの研究者が、Shark RV2320EDUS ロボット掃除機を分解したところ、その組み込みの AWS IoT 証明書は、自身だけでなく、同じ AWS リージョン内のあらゆる Shark デバイスに関するトピックのパブリッシュおよびサブスクライブが許可されていることが判明した。

AWSリージョンとは、Amazon クラウドデータセンターをAmazon 個別の地理的場所のことです。各AWSリージョンは、他のリージョンから完全に分離されています。現在、世界中に39のAWSリージョンがあります。

AWSは設計上、設定やコマンドなどの状態情報を保存するデバイスごとの「シャドウ」を提供しています。しかし、SharkのMQTT(Message Queuing Telemetry Transport)ポリシーが過度に寛容であるため、盗まれた証明書を使って他の掃除機のシャドウとも通信できてしまいます。

簡単に言えば、これは各掃除機がクラウド上に独自の「受信箱」を持つことになっていることを意味します。Sharkのクラウドルールが広範囲に及ぶため、ある掃除機から盗まれた認証情報を使って、他の掃除機の受信箱にもコマンドを送信できてしまうのです。

この証明書は、物理的なアクセスとデバッグコンソールを使用して真空装置から抽出されたものであり、つまり最初の侵害には直接的なアクセスが必要でしたが、その後の悪用はリモートかつクラウドベースで行われています。

所有者にとって、これは単に誰かが午前3時に掃除機を起動させるというだけの問題ではありません。研究者によると、そのクラウドへのアクセス権を持つ攻撃者は、次のようなことが可能になります:

  • 掃除機のカメラ映像を確認し、自宅内の移動式監視カメラとして活用できます。
  • 研究者の話によると、Wi-Fiのパスワードは平文で保存されているとのことで、これを盗み出せば、攻撃者がローカルネットワークへの足掛かりを得る可能性が生じます。
  • 掃除機が作成した家のマップをコピーし、部屋のレイアウトや、各エリアの使用頻度を把握しましょう。

これまでにも、メーカーがセキュリティ対策を怠った場合、「スマート」な掃除機がプライバシーや安全上のリスクとなり得ることを見てきました。Malwarebytes Labs 、Ecovacs のロボット掃除機が乗っ取られ、スピーカーやセンサーを通じてわいせつなメッセージを再生したり、ユーザーを盗聴したりする可能性があることをLabs 、便利な家電製品がいかにしてあっという間に「招かれざる客」へと変貌してしまうかを示しています。

この研究者は、自身のVacuumから取得した証明書を用いて、同じAWSリージョン内のSharkデバイスからのトラフィックを監視し、どのデバイスがリモートコマンド実行機能をサポートしているかを特定することに成功しました。ある単一のAWSリージョンにおいて、24時間の間に、この研究者は1,517,605件の固有のSharkシリアル番号を確認し、そのうち673,816台(約44%)のデバイスが、リモートコマンド実行機能をサポートしていることを示唆する応答を返したことを確認しました。

その研究者は次のように記している:

「影響を受けるデバイスの正確な数を推定することは困難であり、デバイス間での公開を可能にするこうした設定ミスのある証明書がどのデバイスに存在するかを見極めることは、さらに困難です。」

しかし、次のように結論づけた。

「非常に多くのSharkNinja IoTデバイスが、この脆弱性の影響を受けています。」

安全に過ごすには

この問題の根本にあるのは、クラウド側のポリシーが十分に厳格でないことです。そのため、これはサーバー側の問題であり、自分でパッチを当てられるようなファームウェアのバグではありません。

研究者によると、SharkNinja社は6か月以上前にこの脆弱性について通知を受けていたにもかかわらず、まだ修正を行っていないという。状況が改善されるまでは、所有者は以下の措置を講じるべきである:

  • シャーク社に対し、この問題を解決するよう圧力をかける。
  • スマート機能が必要ない場合は、掃除機のリモコン機能を無効にするか、Wi-Fi接続を解除してください。
  • Shark社からの修正、CVE、またはリコールに関する発表にご注目ください。

誰にも見られていないかのように、自由に閲覧してください。 

Malwarebytes Privacy VPN 接続をVPN 、ユーザーの行動を一切記録しません。だから、次に読む記事が自分事のように感じられることはありません。無料でお試しください → 

著者について

ピーテル・アルンツ

マルウェアインテリジェンス研究者

コンシューマー・セキュリティ部門で12年連続マイクロソフトMVP。4ヶ国語を操る。リッチなマホガニーと革張りの本の匂い。