世界で最も人気のある電子ブックリーダー「Kindle」は、比較的安全なデバイスと考えられている。しかし、サイバー犯罪者は常にどんなデバイスでも攻撃する隙を探している。この度、その「隙」が明らかになった。1冊の電子書籍をインストールすることで、あなたのAmazonアカウントが窃取されるかもしれないのだ。
Check Point Software Technologiesは8月6日(米国時間)、「Amazon Kindle Vulnerabilities could have led Threat Actors to Device Control and Information Theft - Check Point Software」において、Amazon Kindleに脆弱性が存在すると伝えた。この脆弱性を悪用されると、Kindleの制御権は完全に乗っ取られ、Kindleデバイスに保存されているAmazonアカウントなどの機密情報が窃取される危険性があるという。ユーザーに必要な操作は一冊の電子書籍をインストールするだけだ。
Amazon Kindleは世界で最も人気がある電子書籍デバイスでありサービスだ。2007年に発表されて以来、数千台のKindleデバイスが販売されたと推定されている。
この脆弱性を発見したCheck Point Researchはすでに問題をAmazonへ報告しており、Amazonは問題を修正したKindleのファームウェア・バージョン5.13.5を配信済みだ。このバージョンは2021年4月に公開されており、インターネットに接続されたデバイスに自動的にインストールされる仕組みになっている。Kindleデバイスを持っている場合は、ファームウェアのバージョンを確認しておきたい。
Check Point Researchは、今回の脆弱性が特定の層に対して効果的に悪用できる点を懸念している。例えば、日本のユーザーを標的とする場合、話題になりそうな日本語の電子書籍を無料で出版すればよく、多くのユーザーがこの電子書籍をインストールしてしまう可能性があるという。その場合、多くのユーザーのAmazonアカウントが窃取される危険性があることになる。
脆弱性が存在しないソフトウェアを開発することは難しいと考えられている。ソフトウェアを含んでいる限り、脆弱性を抱えている可能性があることを認識するとともに、定期的にセキュリティ情報を取得してアップデートを行っていくことが求められている。