2016.07.30(土)

フィッシャープライス「Smart Toy」向けWebサービスに脆弱性(JVN)

脆弱性と脅威 セキュリティホール・脆弱性

独立行政法人 情報処理推進機構(IPA)および一般社団法人 JPCERT コーディネーションセンター(JPCERT/CC)は2月3日、フィッシャープライス「Smart Toy」向けWebサービスに、複数のAPI呼出しにおいて適切な認証を行っていない脆弱性が存在すると「Japan Vulnerability Notes(JVN)」で発表した。CVSS v3によるBase Scoreは7.4。

「Smart Toy」向けWebサービスは、Wi-Fi接続機能を持つIoT玩具「Smart Toy Bear」にさらなるインタラクションを提供するもの。このAPIには、適切な認証を行っていない脆弱性(CVE-2015-8269)が存在する。この脆弱性が悪用されると、リモートの攻撃者によって当該製品に関連付けられた子供や親の個人情報を取得されたり、変更されたりする可能性がある。また玩具を乗っ取られる可能性もある。フィッシャープライスは、サービス側の変更によってこの問題を修正しており、JVNではMattel, Inc. またはフィッシャープライスに問い合わせるよう呼びかけている。
《吉澤 亨史》

編集部おすすめの記事

特集

脆弱性と脅威 アクセスランキング

  1. 「Apache Struts 1」利用に早急な切り替えを呼びかけ--JVN登録状況(IPA)

    「Apache Struts 1」利用に早急な切り替えを呼びかけ--JVN登録状況(IPA)

  2. Vプリカを騙るメールに注意喚起、本文に再び“流失”の表記(フィッシング対策協議会)

    Vプリカを騙るメールに注意喚起、本文に再び“流失”の表記(フィッシング対策協議会)

  3. 政府が「ポケモンGO」に関する注意喚起を発表、9つの注意点を記載(NISC)

    政府が「ポケモンGO」に関する注意喚起を発表、9つの注意点を記載(NISC)

  4. Ruby on Rails において Render メソッドの実装不備により遠隔から任意のコードが実行されてしまう脆弱性(Scan Tech Report)

  5. テレビ会議システム「LifeSize Room」に複数の脆弱性(JVN)

  6. Ubuntu のクラッシュレポート機能 (Apport) により権限昇格されてしまう脆弱性(Scan Tech Report)

  7. TFTPサーバやMS SQLサーバに対するアクセスが増加(警察庁)

  8. トロイの木馬型マルウェアが仕込まれたAndroid版「Pokemon GO」に注意喚起(McAfee)

  9. NAS用OS「QNAP QTS」におけるクロスサイトスクリプティングの脆弱性(ラック)

  10. GNU Wget においてファイル名検証不備により任意のファイルがダウンロードさせられてしまう脆弱性

アクセスランキングをもっと見る

★~(=^・ω・^)ノ☆★ Scanもアップグレードしませんか?7月末まで Scan PREMIUM が最大 5,000 円割引となるキャンペーンを実施中 ★★
★~(=^・ω・^)ノ☆★ Scanもアップグレードしませんか?7月末まで Scan PREMIUM が最大 5,000 円割引となるキャンペーンを実施中 ★★

登録すれば、記事一覧、人気記事ランキング、BASIC 会員限定記事はもちろんのこと、掲載された全ての限定コンテンツに、フルアクセスが可能となります。

×