三菱電機のWi-Fi対応家電に広範な脆弱性、ユーザーに対処を要請
三菱電機は6月11日、エアコン「霧ヶ峰」シリーズを皮切りに、冷蔵庫、炊飯器、IHクッキングヒーター、掃除機など、同社のWi-Fi機能を搭載した家電製品の広範囲において脆弱性が確認されたと発表しました。同社は該当製品のユーザーに対して、適切な対処を呼びかけています。
この脆弱性は、Wi-Fi機能に固定のSSIDとパスワードがハードコード(直書き)されていることに起因します。攻撃者が電波の届く範囲から不正にアクセスした場合、機器の動作状態や室温データの窃取、エアコン設定の不正変更、さらにはWi-Fi通信の停止(DoS攻撃)を引き起こす可能性があるとされています。
影響を受ける製品と条件
影響を受けるのは、Wi-Fi機能を有効にしたまま一度もWi-Fiルーターに接続していない製品、または工場出荷時の状態に戻した後に再設定せずに放置している場合です。この状態では、固定のSSIDとパスワードで製品にアクセスできるため、近くにいる攻撃者が接続できてしまいます。
なお、これらの機器は個人情報などの機密情報を保持していないため、情報漏えいの恐れはないとしています。
推奨される対処法
三菱電機は、各端末をWi-Fiルーターに接続し、製品が開くアクセスポイントを閉じることを第一の対策として推奨しています。その上で、各家電の専用アプリからアップデートソフトを更新すれば、脆弱性を修正できます。
ルーターを持っていない場合は、Wi-Fi機能を無効にすることで回避可能です。各機種の対策方法は、資料(PDF)を通じて案内されています。
今後の対応スケジュール
日本向けエアコンの対策用ソフトウェアはすでに公開済みですが、一部は今後公開予定です。一部の旧モデルについては対策バージョンを公開する予定がないため、Wi-Fiルーターに接続して使用するか、Wi-Fi接続機能を無効化する必要があります。
三菱電機は公式サイトで関連情報を随時更新しており、ユーザーは最新の情報を確認の上、適切な対応を取ることが求められています。
