セキュリティ企業Check Pointの研究員、Eyal ItkinはキヤノンのEOS 80Dに身代金ウィルスの侵入を許す脆弱性があることを発見した。Itkinは、USBケーブルでカメラをコンピュータに接続した際のデータの流れを観察し、EOSのユーティリティソフトが用いるPTP(画像転送プロトコル)通信の脆弱性を突き止めた。
Itkinはコンピュータとカメラ間の通信に侵入し、キヤノンがファームウェアのアップデートに用いる暗号鍵を盗み出すことに成功した。この暗号鍵を用いて彼は、ウィルスを仕込んだファームウェアを作成し、カメラに送り込んだという。同様の攻撃を一般的なユーザーが仕掛けられた場合、それを探知するのは非常に困難だ。
この手法を用いると、サイバー犯罪者が撮影データを暗号化し、カメラのディスプレイで身代金の支払いを要求することが可能になる。Itkinによるとこの攻撃は、カメラとコンピュータをワイヤレスで接続した場合にも可能だという。
試行錯誤を重ねた結果、ItkinはUSBケーブルやEOSのユーティリティアプリを用いずに、ウィルスをカメラに送り込む方法を発見した。Check Pointは今年3月にキヤノンにこの問題を報告し、現在ではキヤノンの公式サイトから、この脆弱性を修正したファームウェアがEOS 80Dの所有者向けに配布されている。
キヤノンによると、今回の脆弱性を悪用した事例は報告されていないという。しかし、Itkinは動画を通じ、デジタルデバイスを使用するユーザーたちに2つの警告を発した。
その1つは、ネット接続可能なデバイスを用いる際には必ず、最新のファームウェアを搭載していることを確認すること。もう1つは、信頼のおける暗号化済みのネットワークのみを用いることだ。 何らかの理由で、公衆Wi-Fiや暗号化されてないネットワークに接続する場合は、VPNなどのツールを用いて防御を行うことが推奨される。