ボルトニア/ゲッティイメージズ
モノのインターネット(IoT)のセキュリティ上の悪夢は終わりがありません。セキュリティ研究者が開発した新しいツールを使えば、アドレスを入力するだけで、セキュリティ保護されていない監視カメラを検索できます。
Kamerkaと呼ばれるこのツール(https://github.com/woj-ciech/kamerka)は、インターネットに接続されたカメラのデータと位置情報データを組み合わせて、個々の建物や道路に設置されたデバイスを示す地図を作成します。多くのIoTカメラやデバイスは基本的なセキュリティ要件を満たしておらず、簡単にアクセスされてしまう可能性があります。
「一部のカメラは認証なしで開放されているため、アクセスするのにハッキングスキルは必要ありません」と、Kamerkaの背後にいるセキュリティ研究者(通称Wojciech)はブログ記事に記した。この件はMotherboardが最初に報じた。
KamerkaはShodanのデータを利用して動作します。2009年に開設されたこのウェブサイトは、インターネット接続デバイスの検索エンジンです。インターネットをクロールし、IoT冷蔵庫、プリンター、カメラなど、公開されているデバイスを検索し、Googleのウェブサイトへのアプローチに似た方法でインデックス化します。
しかし、こうした物理的なオブジェクトの多くは安全ではありません。IoTのセキュリティ問題は既に十分に文書化されています。Shodanは個人の寝室にあるウェブカメラを覗き見できることを示し、Miraiボットネットは脆弱なパスワードを持つIoT製品に大規模なDDoS攻撃を仕掛け、Googleのスマートアシスタントでさえ誤ってデータを漏洩させたことが判明しています。
Kamerka は、カメラデータに加えて Shodan から経度、緯度、半径を取得し、これを Python ツール GeoPy とマッピング ソフトウェアの技術と組み合わせて、カメラを特定の場所に正確に配置します。
続きを読む: スマートホーム技術が家庭内暴力の道具に変貌
生成されたマップに表示されるカメラのすべてが安全ではないわけではありません。「マーカーは2色で表示されます。赤はカメラが何らかの認証システムを備えている可能性が高いことを意味します」とヴォイチェフ氏は記しています。「緑色のマーカーは、カメラが開いているか、ログインパネルが表示されていることを意味します。」ログイン情報がデフォルト設定から変更されていない場合(パスワードが「password」になっているなど)、システム利用者がカメラに強制的に侵入できる可能性があります。
「このツールは便利です。Shodanから対象のデバイスの位置情報を特定するのは難しい場合が多いからです」と、Pen Test Partnersのセキュリティ研究者ケン・マンロー氏は語る。「うまくいくこともありますが、脆弱な『もの』がどこにあるかを見つけるために、複数のソースから得たデータを相関させなければならないこともあります。」
しかし、デバイスにアクセスしようとする者には、法的な問題に加え、倫理的およびプライバシー上の懸念も当然ながら存在する可能性があります。Wojciech氏のコードは概念実証として設計されており、誰でも利用可能ですが、システムを実行するにはある程度の技術的知識が必要であり、有料のShodanアカウントも必要です。Motherboardはシステムのテスト中に、予測可能なパスワードが設定されたカメラを発見しましたが、ライブストリーミングはすぐには検出されませんでした。
安全でないカメラが存在することはよく知られているが(ある中国企業は2016年に430万台をリコールした)、KamerkaはIoTの継続的な脆弱性を示すもう一つの例だ。
では、IoTの終わりなきセキュリティ問題に対して、どのような対策が取られているのでしょうか?Googleの研究者たちは、Android Thingsという新しいオペレーティングシステムを開発しました。このオペレーティングシステムには、製品にAndroid Thingsを採用した開発者向けに、自動セキュリティアップデート機能が搭載されています。同様に、MITの研究者たちは、IoTデバイスを簡単に暗号化できるチップを開発しました。
「ウイルス対策で知られる様々なベンダーが、家庭用IoTから私たちを守るためのセキュリティデバイスの販売を開始しています。これらは完璧ではありませんが、消費者の家庭を守るための良い第一歩と言えるでしょう」とマンロー氏は言います。「しかし、正しい解決策は、そもそもIoTデバイスが安全に作られていることです。スマート製品のベンダーがセキュリティを理解していなかったと主張する言い訳はもはや通用しません。」
個々の企業や団体の努力にもかかわらず、IoT製品全体にわたる共通規格の策定は、一部の問題の解決に役立つ可能性が高い。10月、英国政府は国家サイバーセキュリティセンターを通じて、IoTセキュリティに関する一連のガイドラインを発表した。これらのガイドラインでは、デフォルトのパスワードは使用すべきではないこと、企業は脆弱性が発見された場合は開示すること、研究者と協力し、ソフトウェアを更新し、顧客データを保護する必要があることが定められている。
しかし、製品サイクルにより、現在消費者の家庭や職場にある、保護が不十分な多くの IoT デバイスは、今後数年間は交換されない可能性があります。
この記事はWIRED UKで最初に公開されました。
