TP-Link Kasaカメラ、GPS位置情報を6年間漏洩

原題: TP-Link Kasa cameras leaked home GPS via unauthenticated UDP for 6 years

なぜ重要か

家庭用IoTカメラが認証なしで自宅GPS情報を6年間露出していた事実は、IoTデバイスのセキュリティ設計と長期サポートの重要性を改めて示す事例として業界全体に影響を与える。

セキュリティ研究者Christopher Childress氏は、TP-Link製屋内カメラ「Kasa Spot EC71」において、認証なしのUDP通信を通じて自宅のGPS座標が外部に漏洩する脆弱性が約6年間存在していたことを公表した。CVE-2026-9770およびCVE-2026-13230として登録され、ファームウェア2.4.1で修正済み。

セキュリティ研究者Christopher Childress氏(ハンドルネーム:BadChemical)は2026年7月16日、TP-Link Systems Inc.製のIoTカメラ「Kasa Spot EC71」に複数の深刻な脆弱性が存在していたことを公開した。

対象となったファームウェアはバージョン2.3.26(ビルド日:2024年4月25日)であり、問題は修正版ファームウェア2.4.1でパッチが適用されている。

今回公開された脆弱性は主に2件。1つ目はCVE-2026-13230で、カメラが認証を要求しないUDPポートを通じて、設置場所の自宅GPS座標を含む情報を外部へ送信していたというもの。ネットワーク上の第三者が認証なしでこのデータにアクセス可能な状態が、約6年間継続していたとされる。2つ目はCVE-2026-9770で、RSA/IAM(識別・アクセス管理)に関連する脆弱性であり、こちらも同バージョンのファームウェアで修正された。

Childress氏はTP-Linkに対して責任ある開示(Coordinated Vulnerability Disclosure)の手順に従い事前に報告しており、ベンダーとの調整を経た上でGitHubにPoC(概念実証コード)を公開した。レポートには脆弱性の技術的詳細が290行にわたって記述されている。

TP-Link Systems Inc.はパッチを提供済みであり、ユーザーにはファームウェアを2.4.1以降へ更新することが強く推奨される。

出典

github.com — 元記事を読む →