ライフエレメンツ株式会社は、スマートホームサービスMANOMAで使用されるAIホームゲートウェイのファームウェアアップデートを実施した。今回のアップデートはセキュリティ脆弱性の修正を目的としている。
2025年11月14日にJVNで公開されたJVN#49899607に対応するもので、当該製品へログインした後の管理画面の実装におけるセキュリティ脆弱性を修正した。
アップデートは2025年10月28日午前2時以降、MANOMAアプリから手動で実施可能となり、AIホームゲートウェイの再起動でも自動アップデートされる。11月5日午前2時以降には自動でアップデートされる予定である。
アップデート完了後のファームウェアバージョンは1.4.48.17、ソフトウェアバージョンは1.13.9となる。
From: 
MANOMA AIホームゲートウェイのファームウェアアップデートについて(10/28)
【編集部解説】
今回のMANOMAのセキュリティアップデートは、スマートホーム機器の安全性を考える上で重要な事例となりました。発見された脆弱性は「OSコマンドインジェクション」と呼ばれるもので、CVSSスコアは7.2(CVSS v3.0基準)と、比較的深刻度の高い脆弱性として分類されています 。
この脆弱性の本質は、管理画面の実装における入力検証の不備です。もし攻撃者が管理画面へのログイン認証情報を何らかの方法で取得した場合、root権限で任意のOSコマンドを実行できてしまう可能性がありました 。root権限とはシステム管理者権限のことで、デバイスのあらゆる操作が可能になります。
スマートホーム機器は24時間365日稼働し続けるという特性上、一度侵入を許せば、家庭内ネットワーク全体への攻撃の足がかりとなるリスクがあります。IoT機器におけるコマンドインジェクション攻撃は、攻撃者に完全なシステム制御権を与える可能性があり、深刻な脅威として認識されています 。
幸いなことに、今回のケースでは管理画面への認証情報が必要であるため、攻撃のハードルは一定程度保たれています。しかし、認証情報の漏洩や弱いパスワードの使用といった要因が重なれば、深刻な被害につながる可能性は否定できません 。
ライフエレメンツ株式会社(旧ソニーネットワークコミュニケーションズ)は、段階的なアップデート提供によって利用者の利便性を考慮しつつ、最終的には自動アップデートで全台対応する方針を取りました。このアプローチは、セキュリティと利用者体験のバランスを取る好例と言えるでしょう 。
【用語解説】
OSコマンドインジェクション
ウェブやアプリの入力欄を悪用し、不正な文字列の送信によってシステムのOSコマンドを任意に実行させる攻撃。情報漏洩やマルウェア感染につながる危険性がある。
CVSS(Common Vulnerability Scoring System)
脆弱性の深刻度を数値で評価する国際基準。0.0から10.0までのスコアで表す。
JVN(Japan Vulnerability Notes)
日本国内で発見されたソフトウェアの脆弱性とその対策情報を提供する脆弱性情報サイト。IPAとJPCERT/CCが共同運営。
情報セキュリティ早期警戒パートナーシップ
脆弱性情報の届出・流通・対応を円滑にするための仕組み。IPAとJPCERT/CCが調整役となる。
AIホームゲートウェイ
MANOMAで使われる中核機器。カメラやセンサー等を統合し、スマートホームの各種機能やネット接続を担う。
【参考リンク】
MANOMA(マノマ)公式サイト(外部)
家族の見守りや防犯セキュリティ機能を備えたスマートホームサービスの公式情報。IoT家電やアプリの連携詳細も紹介。
ライフエレメンツ株式会社(外部)
MANOMAなどIoTプラットフォーム事業を展開する公式企業ページ。システム開発・提供の事業内容を掲載。
JVN(Japan Vulnerability Notes)(外部)
ソフトウェアの脆弱性・セキュリティ対策情報を発信する日本最大級のポータルサイト。
IPA 情報セキュリティ早期警戒パートナーシップ(外部)
脆弱性届出・調整・対応のための公式解説ページ。届出手順や開示フローなどを詳しく掲載。
【参考記事】
OSコマンドインジェクションを徹底解説!仕組み・対策・事例(外部)
攻撃手法としての仕組みや、脆弱性が生じる原因と設計面でのポイントを解説している。
CVSSとは? 脆弱性の深刻度の評価基準とスコアの算出方法(外部)
脆弱性評価基準としてのCVSSの概要や基本・現状・環境3基準による評価方法を詳述。
スマートホームを理解する:居住空間のセキュリティの確保(外部)
スマートホーム導入時の実際のセキュリティリスクや防御対策の基礎もわかる解説記事。
【編集部後記】
スマートホームの利便性を享受する私たちですが、その裏側で何が守られているのか、意識する機会は多くありません。今回のような脆弱性修正のニュースは、日々どれほど細やかにセキュリティが保守されているかを気付かせてくれます。
ご自宅にスマートホーム機器を導入されている方は、この機会にファームウェアのアップデート状況を確認してみてはいかがでしょうか。小さな一歩が、大きな安心につながると信じています。
