パスワードを忘れた? アカウント作成
12670490 story
プライバシ

再び話題になるIoT検索サイト「Shodan」 8

ストーリー by hylom
と言われても一般人が簡単に対策できるようになるとは思えないわけで 部門より
あるAnonymous Coward 曰く、

2013年にインターネットに接続されたデバイスを検索できる検索エンジン「Shodan」が話題になったShodanはサーバやウェブカメラ、プリンタ、ルータなどインターネットに接続されている機器を検索できるサイトだが、これが最近また議論になっているようだ(Ars TechnicaboingboingSlashdot)。

ShodanはHTTPポートで使われる80番ポートやFTP(21番)、SSH(22番)、Telnet(23番)、SNMP(161番)、SIP(5060番)といったプロトコルを指定して検索が行えるという。インターネット上に存在するIoTデバイスを見つけ出すことも可能で、ビデオ共有プロトコル(RTSP、ポート554)を介して共有されているWebカメラを簡単に見つけられる。これにより、小売店やマリファナ農園、銀行、キッチン、リビング、ガレージ、庭園、スキー場、プール、大学や学校のバックルーム、研究所、レジカメラといったあらゆる場所でのぞき見が可能になってしまっているようだ。

IoTメーカーにも責任はあるが、自衛策としてShodanクローラをブロックする対策なども必要とされる(CheckPointIPA)。

なお、Webカメラについては、国内でも「Insecam」と呼ばれるWebカメラ検索サイトにより、コンビニなどのカメラがのぞき見できたとして話題になっていた

Shodanが再び話題になっている背景には、最近「Internet of Things」(IoT)が盛んに取り上げられるようになっていることがあるようだ。近年ではインターネットに接続できるデバイスはどんどん増えており、家電や自動車までもがネットに繋がるようになった。しかし、それらに対するセキュリティについてはあまり話題になっていない。適切に設定されていないデバイスは、Shodanのようなサイトを通じて簡単に外部からアクセスされるということを周知させたいということでShodanが取り上げられているようだ。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • タレコミ本文ではIoT(インターネットに接続されている機器を作った)メーカーの責任だけが記載されていますが、ネット環境と合わせてパッケージにして機器を設置する業者さんがいて、その人たちが対策をとっていなかったことにも触れないと片手落ちなのではないかと思います。
    ただ、Webカメラのハックは認証を迂回するようなアクセスではないので、映像が漏洩したことは機器の脆弱性がもたらしたものではないです。それもあって、結局だれも対策を取らないでいるように見えます。
    例えば、「ライブカメラとして広く見てもらうためにあえてパスワード保護をかけていないものもあるはず」という言い訳にしか見えない主張 [internetcom.jp]も、機器として脆弱性がないことを言い表しているように見えます。

    脆弱性がないにしても、製品の設計がフェールセーフになっていたらよかったなと思うんですけどね。今の製品は昔のものとは違うのかな。

    • エレベータ/エスカレータのように、IoTデバイスは導入した後でも定期的なメンテナンスが必要となる事の周知や認識がイマイチ足りてないという点もあるかと。

      例えば製品によっては製品に脆弱性があって、認証が回避される不具合持ちが有ったりします。 [iodata.jp](JVN#94592501の該当項目 [jvn.jp])
      また、デフォルトユーザー名とパスワードを突破して公開されている場合でも一応認証はされているかと。

      将来「パスワードなし 又は デフォルトパスワードのまま運用出来てしまう事自体が脆弱性である」となる未来も来るのかもしれません。

      --
      誰も信じちゃいけない、裏切られるから。
      私を信じないで、貴方を裏切ってしまうから。
      親コメント
    • by Anonymous Coward

      製品の設計がフェールセーフになっていたら

      デフォルトでパスワードもかかってるし、プライベートIPアドレスからのアクセスしか許可しないものもありますが、コストの安い設置業者さんほど何も言わずにそれらを外していくことが多いです。
      結局のところ、製品がどうあったとしても、設置業者の選定によってはセキュリティのリスク解決が後回しになりやすく、設置先の顧客次第というだけのことではないかと思います。

  • by Anonymous Coward on 2016年01月28日 21時00分 (#2956305)

    なんでここ半年ぐらい、数日後に追記しただけの同じスーリーが採用されまくってんの?
    ネタ切れは起きてないでしょ
    しっかりしてよ

    • by Anonymous Coward

      Souris(スーリー)は、フランス語で“ねずみちゃん”“微笑み”の意味があります。

    • by Anonymous Coward

      繰り返しはギャグの基本

    • by Anonymous Coward

      天丼

    • by Anonymous Coward

      新たなhylom芸の始まりである。

typodupeerror

人生の大半の問題はスルー力で解決する -- スルー力研究専門家

読み込み中...