12ドルのスマートドアベルに致命的な脆弱性、アカウント乗っ取りや通話ハイジャックが可能に

安価なスマートドアベルに潜む深刻なセキュリティホール

Temuで販売されている12ドルのスマートドアベル「Smart Doorbell X3」において、所有者のアカウントを完全に乗っ取ったり、偽のビデオ通話を該使用者に送信したりできる、深刻なセキュリティ脆弱性が発見された。セキュリティ研究者による調査で明らかになったこの問題は、個々のデバイスというよりも、デバイスが接続されるバックエンドプラットフォームの設計に起因するものだという。

攻撃者ができること：アカウント乗っ取りと通話ハイジャック

研究者のブログ投稿によると、この脆弱性を悪用すれば、インターネット上の誰でも以下の行為が可能だったとされる。

1. アカウントからのデバイスの静かな奪取: 攻撃者はプラットフォーム上で無料アカウントを作成するだけで、ターゲットのドアベルをその所有者のアカウントから切り離し、自分の管理下に置くことができた。これにより、ドアベルへの実際の呼び出しはすべて所有者の電話ではなく、攻撃者の電話に転送されるようになった。
2. 所有者への偽ビデオ通話の送信: さらに、攻撃者はデバイスを装って、所有者の電話に任意のビデオを表示する新しい通話を発信できた。この攻撃には特別な権限は必要なく、本物のドアベルはオンラインのまま何も検知できないという。

つまり、ユーザーは12ドルを支払うことで、インターネット上の誰にでも自分のドアベルを鳴らせる状態を作り出していたことになる。加えて、デバイスのデバッグポート経由で家庭のWi-Fiパスワードを窃取する手口も確認された。

問題の本質：個別デバイスではなくプラットフォーム層に

この脆弱性の根本的な原因は、個々のハードウェアではなく、デバイスが通信を行うバックエンドプラットフォームの設計にあると指摘されている。ドアベルは、広州に本社を置く「Guangzhou Qiangui IoT Technology Co., Ltd.」が運営する「Naxclow」ブランドのバックエンドと通信を行っていた。

同社のハードウェアは複数のリセラーブランドで再販されており、バックエンドもNaxclowブランド下で複数のコンシューマーアプリ（「X Smart Home」「V720」「ix cam」など）をサブドメインごとに運用している。これらのアプリはVue.jsで構築されたフロントエンドやプロトコルを共有しており、同じバックエンドコードが各ブランド名のホスト名の下で動作している可能性が高いと研究者は分析している。つまり、これは一つの箱（デバイス）の問題ではなく、プラットフォーム全体の問題なのだ。

責任ある開示とメーカーの対応

研究者は発見を受けて、2026年5月6日にCERT/CCのVINCEを通じて連絡を開始し、CVE番号の割り当てプロセスに入った。Naxclowへの連絡は困難を極め、ウェブサイトに連絡先ページがないため、メールアドレスの推測やアプリ内フィードバックフォームを利用する必要があったという。報告書は2026年4月29日に送付された。

公開から1日後の2026年5月7日、Naxclow側は研究者に連絡を取り、報告を確認し、内部レビュープロセスを開始したことを伝えた。現時点でパッチの適用状況やユーザーへの対応策についての詳細は発表されていない。

安価なIoTデバイスのセキュリティリスクを再認識

この事例は、特に急成長を遂げるECプラットフォームを通じて流通する安価なIoTデバイスに内在するセキュリティリスクを浮き彫りにしている。ハードウェアのコモディティ化が進む中、セキュリティは後回しにされがちだが、その裏側で動作するプラットフォームの脆弱性は、ユーザーのプライバシーやネットワーク全体の安全を根底から脅かしかねない。消費者は価格だけでなく、メーカーのセキュリティ対応の透明性やアップデート提供の実績にも注意を払う必要があるだろう。