再び話題になるIoT検索サイト「Shodan」 8
と言われても一般人が簡単に対策できるようになるとは思えないわけで 部門より
2013年にインターネットに接続されたデバイスを検索できる検索エンジン「Shodan」が話題になった。Shodanはサーバやウェブカメラ、プリンタ、ルータなどインターネットに接続されている機器を検索できるサイトだが、これが最近また議論になっているようだ(Ars Technica、boingboing、Slashdot)。
ShodanはHTTPポートで使われる80番ポートやFTP(21番)、SSH(22番)、Telnet(23番)、SNMP(161番)、SIP(5060番)といったプロトコルを指定して検索が行えるという。インターネット上に存在するIoTデバイスを見つけ出すことも可能で、ビデオ共有プロトコル(RTSP、ポート554)を介して共有されているWebカメラを簡単に見つけられる。これにより、小売店やマリファナ農園、銀行、キッチン、リビング、ガレージ、庭園、スキー場、プール、大学や学校のバックルーム、研究所、レジカメラといったあらゆる場所でのぞき見が可能になってしまっているようだ。
IoTメーカーにも責任はあるが、自衛策としてShodanクローラをブロックする対策なども必要とされる(CheckPoint、IPA)。
なお、Webカメラについては、国内でも「Insecam」と呼ばれるWebカメラ検索サイトにより、コンビニなどのカメラがのぞき見できたとして話題になっていた。
Shodanが再び話題になっている背景には、最近「Internet of Things」(IoT)が盛んに取り上げられるようになっていることがあるようだ。近年ではインターネットに接続できるデバイスはどんどん増えており、家電や自動車までもがネットに繋がるようになった。しかし、それらに対するセキュリティについてはあまり話題になっていない。適切に設定されていないデバイスは、Shodanのようなサイトを通じて簡単に外部からアクセスされるということを周知させたいということでShodanが取り上げられているようだ。
結局だれも対策を取らない (スコア:1)
タレコミ本文ではIoT(インターネットに接続されている機器を作った)メーカーの責任だけが記載されていますが、ネット環境と合わせてパッケージにして機器を設置する業者さんがいて、その人たちが対策をとっていなかったことにも触れないと片手落ちなのではないかと思います。
ただ、Webカメラのハックは認証を迂回するようなアクセスではないので、映像が漏洩したことは機器の脆弱性がもたらしたものではないです。それもあって、結局だれも対策を取らないでいるように見えます。
例えば、「ライブカメラとして広く見てもらうためにあえてパスワード保護をかけていないものもあるはず」という言い訳にしか見えない主張 [internetcom.jp]も、機器として脆弱性がないことを言い表しているように見えます。
脆弱性がないにしても、製品の設計がフェールセーフになっていたらよかったなと思うんですけどね。今の製品は昔のものとは違うのかな。
Re:結局だれも対策を取らない (スコア:1)
エレベータ/エスカレータのように、IoTデバイスは導入した後でも定期的なメンテナンスが必要となる事の周知や認識がイマイチ足りてないという点もあるかと。
例えば製品によっては製品に脆弱性があって、認証が回避される不具合持ちが有ったりします。 [iodata.jp](JVN#94592501の該当項目 [jvn.jp])
また、デフォルトユーザー名とパスワードを突破して公開されている場合でも一応認証はされているかと。
将来「パスワードなし 又は デフォルトパスワードのまま運用出来てしまう事自体が脆弱性である」となる未来も来るのかもしれません。
Re: (スコア:0)
製品の設計がフェールセーフになっていたら
デフォルトでパスワードもかかってるし、プライベートIPアドレスからのアクセスしか許可しないものもありますが、コストの安い設置業者さんほど何も言わずにそれらを外していくことが多いです。
結局のところ、製品がどうあったとしても、設置業者の選定によってはセキュリティのリスク解決が後回しになりやすく、設置先の顧客次第というだけのことではないかと思います。
おかしい (スコア:0)
なんでここ半年ぐらい、数日後に追記しただけの同じスーリーが採用されまくってんの?
ネタ切れは起きてないでしょ
しっかりしてよ
Re: (スコア:0)
Souris(スーリー)は、フランス語で“ねずみちゃん”“微笑み”の意味があります。
Re: (スコア:0)
繰り返しはギャグの基本
Re: (スコア:0)
天丼
Re: (スコア:0)
新たなhylom芸の始まりである。