INAXのトイレ操作アプリ「My SATIS」に脆弱性、第三者に操作される危険性

　米国のセキュリティ企業Trustwaveは1日、LIXIL（INAX）のトイレを操作できるAndroidアプリ「My SATIS」に脆弱性があり、第三者にトイレを勝手に操作される危険性があるとして、セキュリティアドバイザリを公表した。INAXは、2011年4月にトステムや新日軽などと合併して株式会社LIXILとなっている。

　「My SATIS」は、LIXILのタンクレストイレ「SATIS」シリーズと連携し、Bluetooth経由で洗浄位置や水量の強弱などを設定できるAndroidアプリ。「SATIS」シリーズのうち、2013年2月発売のG8グレードおよびS8グレードに対応する。

　脆弱性は、アプリがトイレと通信を行う際に用いるBluetoothのPINコードが「0000」に固定されているというもの。これにより、誰でも「My SATIS」のアプリを用いればトイレの操作が可能になり、繰り返し水を流すことで水道使用量を増やしたり、予想外のタイミングでフタの開け閉めをする、ビデや乾燥機能を動作させるといった嫌がらせが可能になるとしている。

　Trustwaveでは、6月14日にLIXILに連絡しており、7月10日、7月12日にもそれぞれ連絡したが返答がなかったとして、8月1日にセキュリティアドバイザリを公開した。

　この脆弱性は、Trustwave SpiderLabsのDaniel Crowley氏が発見しており、Crowley氏は8月1日に米国ラスベガスで開催されたセキュリティイベント「Black Hat USA 2013」において、ネットワーク接続の家電製品に存在する脆弱性の事例として、Belkinのワイヤレス電源コントローラーや、Linksysのメディアアダプターなどと共に報告している。