ウイルス対策ソフトのメーカーとしても知られているセキュリティ企業のMcAfee(マカフィー)がPeloton製のトレッドミル(ルームランナー)やエアロバイクに脆弱性があることを報告しました。報告内容によると、同製品のUSBポートを通じて、製品を使用している人の情報が抜き取られるなどの被害を受ける可能性があるとのことです。
今回発見された脆弱性はPeloton製のトレッドミル「Tread+」およびエアロバイク「Bike+」のUSBポートを通じて、マルウェアなどが簡単にインストールできてしまうということです。これを悪用すれば、公共の場で稼働しているPeloton製のBike+を通じて、使用者のスマートフォンのマイクやカメラ、アプリなどにアクセスされていまうとのこと。
また、Peloton製のTread+やBike+の位置情報がオンライン上に公開できる仕様であり、公共の場に設置されている同機器はこれが有効になっていることが多いです。このため、セキュリティ研究者は「使用者の情報を抜き取る以外にも、ストーキング被害に遭ってしまう可能性があります」と語り、ストーカー被害に遭ってしまう可能性も指摘しています。
この脆弱性はMcAfeeからPelotonに2021年3月頃には報告済みとのこと。報告を受けたPelotonは修正に着手済みで、記事作成時点では既に脆弱性を取り除くアップデートを公開&適用したことを発表しています。
専門家によると、テレビなどの家電製品など、インターネットに接続可能な機器には同様の脆弱性を持っている可能性が高いとのことです。このため、ソフトウェアの自動更新は常時オンにしておくことを推奨しています。
関連記事
Pelotonのルームランナー「Tread」や「Tread+」には人を巻き込んでしまう問題があるとして、自主回収されました。実際に小さい子どもが巻き込まれている様子の映像や詳しい内容については以下の記事から確認することができます。