概要
- TP-Link Kasa Spot EC71 (ファームウェア2.3.26)の 複数脆弱性 に関するセキュリティアドバイザリ
- 脆弱性は v2.4.1で修正済み、CVE-2026-9770およびCVE-2026-13230に該当
- 主な問題は RSAキーのハードコード化、 MD5による認証情報保存、 GPS情報の未認証漏洩
- 調査・開示プロセス の詳細なタイムラインを含む
- 全脆弱性の技術的詳細 と影響範囲を解説
TP-Link Kasa Spot EC71 セキュリティアドバイザリ
- 対象製品: Kasa Spot EC71 (TP-Link Systems Inc.製)
- 該当ファームウェア: 2.3.26 (2024年4月25日ビルド、Release ID: 33797)
- 修正版ファームウェア: 2.4.1
- CVE番号: CVE-2026-9770 (RSA/IAM)、 CVE-2026-13230 (GPS)
- 公開日: 2026年7月16日
- 著者: Christopher Childress (BadChemical)
- 状態: 修正済み
法的注意事項
- 本リポジトリは修正済み脆弱性の 教育・防御研究目的 で公開
- 脆弱性情報は Coordinated Vulnerability Disclosure 規定に従い開示
- 全ての機密情報(識別子、認証情報ハッシュ、秘密鍵)は マスキング済み
調査概要
- Kasa Spot EC71 の包括的なセキュリティ分析により、 機密性・完全性・可用性 を損なう複数の脆弱性を発見
- CH341Aプログラマ によるSPIフラッシュからのファームウェア抽出、 パケット解析、 ハードウェア解析 を実施
- 主な脆弱性: 暗号化の失敗、 認証情報の安全でない保存、 GPS情報の未認証漏洩
- 6ヶ月以上の協調的開示 により、v2.4.1で全脆弱性を修正
- テスト機器の物理的破損 やベンダー側の検証プロセスの課題も発生
脆弱性の全体像
- RSA秘密鍵のハードコード化 による全機器共通の暗号素材漏洩
- ユーザーパスワードのunsalted MD5保存 によるクロスドメイン乗っ取りリスク
- 未認証のGPS座標・デバイス情報漏洩 によるプライバシー侵害
二次的リスク
- 中古市場経由 で初期化済み機器から 前所有者の認証情報・GPS座標 が復元可能
脆弱性開示タイムライン
- 2026年1月5日 :最初のアドバイザリをTP-Linkへ送付
- 2026年1月14日 :ベンダーが報告を認知、該当ファームウェアを確認
- 2026年1月16日 :ベンダーがPoCスクリプトを要求、TLS証明書問題の修正を約束
- 2026年1月27日 :RSAキー・認証情報保存の問題を認定、その他はリスク受容/範囲外
- 2026年3月23日 :アーキテクチャ再設計のため期限延長要請、GPS脆弱性追加報告
- 2026年4月21日 :GPS問題を個別管理、進捗報告を約束
- 2026年5月29日 :ベンダー側の誤ったトリアージ対応を指摘し、ビデオPoCで反証
- 2026年6月5日 :GPS開示期限延長要請を却下、6月22日を最終期限に
- 2026年6月10日 :CVE-2026-9770ファームウェアロールバック発生、ベータ版提供
- 2026年6月15日 :ベータファームウェアでテスト機器が物理的に破損
- 2026年6月24-25日 :交換機器でベータ2.4.1適用、全問題の修正を確認
- 2026年7月14日 :正式公開、GPS CVE発行
主な脆弱性詳細
Finding 1 — RSA秘密鍵のハードコード化
- CWE-321 / CWE-327
- 状態: v2.4.1で修正
- 内容:
- ファームウェア内に 全台共通のRSA秘密鍵/証明書ペア を2種格納
- 2014年発行(1024bit, SHA1, 期限切れ) と 2021年発行(2048bit, SHA256, 2031年まで有効)
- どちらも 全機器で同一、SPIフラッシュから抽出可能
- 影響:
- 攻撃者が 任意の1台から秘密鍵を抽出 すれば、 全台の通信解読・偽装 が理論上可能
- 実際の通信はクラウドルートの可能性が高く、現時点での悪用実証は未確認
Finding 2 — パスワードの安全でない保存・クロスドメインリスク
- CWE-916
- 状態: v2.4.1で修正
- 内容:
- config/account ファイルに unsalted MD5ハッシュ でクラウドアカウント認証情報を保存
- 初期値は admin/admin、ユーザー登録後は 平文メールアドレス+MD5ハッシュ
- 影響:
- TP-Link ID は複数サービスで共通認証に利用
- MD5ハッシュは容易に解析可能、GPUクラスタ等で総当たりも現実的
- アカウント乗っ取り・他サービスへの横断的侵害 (Tapoスマートロック、Decoネットワーク、VIGI監視カメラ等)
Finding 3 — 未認証GPS座標・デバイス情報漏洩
- CWE-359
- 状態: v2.4.1で修正
- 内容:
- UDPポート9999 に{"system":{"get_sysinfo":{}}}を送信すると、 GPS座標・ハードウェアID・デバイスエイリアス・ファームウェア情報 等を含むJSON応答を 未認証で返却
- 応答は 単純なXOR暗号 のみ、Wiresharkで平文解析可能
- GPS座標はアカウント作成時のスマホ位置情報 を記録し、 端末初期化でも不変
- 影響:
- ローカルネットワーク上の誰でも 家庭の正確な位置情報や識別子を取得可能
- プライバシー侵害・追跡リスク
- プロトコル履歴:
- 2016年 以降、同プロトコルの未認証性が公知
- 2020年 には他カメラでも同様のGPS漏洩が確認済み
- 法的・運用上の問題:
- CCPA等プライバシー法規制 に抵触の可能性
- ジオフェンシング機能有無に関わらず、GPS座標が自動収集・保存・漏洩
総括:セキュリティ管理・運用上の教訓
- 全製品群に共通する脆弱性 は、個別修正でなく 包括的なアーキテクチャ見直し が必須
- 認証情報や位置情報の保存・送信設計 は、 最小限・暗号化・認証必須 が原則
- 中古品流通時のデータ残存・漏洩リスク にも十分配慮が必要
- 開示プロセスの透明性・トリアージの厳格化 が今後の信頼性向上に不可欠