パスワードを忘れた? アカウント作成
13832333 story
セキュリティ

多くのIoT機器はセキュリティ対策が不十分 66

ストーリー by hylom
わかる 部門より
あるAnonymous Coward曰く、

昨今人気のいわゆるスマート電球を分解調査したところ、内部ストレージには無線LANのパスワードなどが全く暗号化されず保存されていたという(TechCrunch)。

また、データをクラウドに送信する際に使われる秘密鍵に簡単にアクセスできてしまうような製品もあったという。こういった問題はスマート電球だけに限るものではなく、「IoTデバイスの9割はセキュリティを考慮せずに開発されている」とも指摘されている。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2019年02月07日 9時38分 (#3561066)

    パソコンでも同じように調べたらこうなっちゃうよ

    パソコンのHDD/SSDを調べたところ、ディスクの暗号化がされていないものがほとんどだった
    =多くのパソコンはセキュリティ対策が不十分

    #IoTはファームも脆弱性だらけだけどね。自動アプデのは突然アプデはじまってその間使えなかったり文鎮化するしw

    • by Anonymous Coward

      Windows 10 Pro にはフォルダ/ファイルの暗号化機能があるが、Homeにはないようだ。

    • by Anonymous Coward

      >パソコンのHDD/SSDを調べたところ、ディスクの暗号化がされていないものがほとんどだった
      >=多くのパソコンはセキュリティ対策が不十分

      何を当たり前のことを…

      パソコンなら自分の意思でどうにかできるけど、IoTの場合はそれが難しいっていう前提を無視してどうするの

      • by Anonymous Coward

        いや、家に入られたら取られちゃう!程度なんだけそわかってる?
        これで危険だと言うのであれば家に大金庫買っておいている人間だけが石を投げなさいの世界なんだが

        リモートからって言うなら問題だけど物理的にアクセスしてんだから家のセキュリティを上げろとしか

        • by Anonymous Coward

          スマート電球だけの話をしていると思っているの?
          IoT全般の話なんだけど、あなたがスマート電球だけの話をしているのであればそう書いてもらうと助かる。

          あと、壊れて捨てたり誰かが売ったものを中古で買ったりの話も記事にはかいてあるけど、読んでる?

          wi-fiのSSIDやパスなら知ったところで誰のものかわからなければ意味ないけど、ネットサービスのIDやパスが記録されてたらまた話が違うでしょ

          • IoT全般の話なんだけど、あなたがPCレベルの機器を含めた話をしているのであればそう書いてもらうと助かる。
            # ブーメラン。w

            一口にIoTといってもいろいろあるわな。

            親コメント
          • by Anonymous Coward

            あんたHDD/SSDだってそのまま捨てんの?
            俺は捨てないしチップ剥がして燃やすしHDDはプラッタ粉々に割って捨てるけど。

            情報機器なので破壊してから捨てましょうねとか
            売る前に設定を削除しましょうねみたいな筋道からわかるけど捨てても危険!
            そのまま書いてるから危険!って家の中に置いてるIoT機器なら家の物理セキュリティの問題でしかないんだけど
            セキュリティ界隈なんて特にこの手の煙を立たせてどうこうする奴が多いのに何を鵜呑みにしてんの?

            「住宅のセキュリティは1分で破れる!だから危険!」って成立するってわかってる?

          • by Anonymous Coward

            電球以外でも大半は物理的な接触が難しいところにあるもんじゃないの。

  • by Anonymous Coward on 2019年02月07日 8時51分 (#3561041)

    「Sだ? どこにそんなものが…」というジョークがあって

    • by Anonymous Coward

      IoTSとかなんとか新しい略語(?)を作ればいい

    • by Anonymous Coward

      IoTのCは第5世代のCだぞ

  • by Anonymous Coward on 2019年02月07日 9時25分 (#3561059)

    ×:IoTデバイスの9割はセキュリティを考慮せずに開発されている
    〇:IoTデバイスの9割はセキュリティなんて無視でいいのでその分安く早く作れと言われて開発されている

    つまり「セキュリティを考慮しない」のではなく「セキュリティを考慮したからこそ
    無駄な予算と時間だと企画側が判断してそれを削る」のが正解なような気がする。
    なのでエンジニアの良心でちゃんとやる場合も否定しないけど、組織としてなってないので
    出来てくるものもまあ大抵は…という事になる場合が半径50m以内でよくありますorz

    • by Anonymous Coward

      〇:IoTデバイスの9割は安く作れて大儲けで開発されている

      「セキュリティなんて無視でいい」という発想すらないのが現実だと思うよ。

      • by Anonymous Coward

        その「俺が損した分は保存されて誰かが100%回収してるはず」って発想やめないか
        価値は熱エネルギーじゃないんだから保存しない

  • by Anonymous Coward on 2019年02月07日 8時23分 (#3561029)

    物理的アクセスしたら簡単にパスワードがわかるのは許容としても、出荷時にランダムなパスワードをかけるとか、ハードウェアコードする場合は個体固有のパスワード設定にして一台解析したら他の個体のパスワードも解るような仕組みは認めないなどして、
    必要最低限な要件定めてPSEみたいに認証受けなければ譲渡、販売禁止にするぐらいしないとダメなんじゃないか?

    って書くと天下り云々いう奴が出てきそうだが

    • by Anonymous Coward

      そういうのはパソコンみたいにプログラミング環境が固まってないと検査すべき部分が多すぎて無理

      • by Anonymous Coward

        認証を通ったとおりの仕様で出荷されているかのチェックもしないといけないので、
        現実的ではないかな~

  • by Anonymous Coward on 2019年02月07日 8時28分 (#3561032)

    アップデートなんてされるのは期待できなさそうなので
    穴が見つかれば悪い事をしたい人たちにとっては狙い放題ってことに!?

    • Re:狙い放題 (スコア:2, すばらしい洞察)

      by Anonymous Coward on 2019年02月07日 8時44分 (#3561037)

      では、まず電球を家から出してみてください

      親コメント
      • by qwerty (20776) on 2019年02月08日 2時55分 (#3561618) 日記

        リレーアタックが有効な気がする

        --
        [Q][W][E][R][T][Y]
        親コメント
      • by Anonymous Coward

        では、まず電球を家から出してみてください

        さすがの一休さんも
        内外シームレスとは思うまい

        # IPv6対応をうたいながらIPv4用しかファイヤーウォールがないルーターなんてのもあるのよ

      • by Anonymous Coward

        まあ今どき電球泥棒なんてしなくても
        IoT乗っ取ってメールで脅してBitcoinを稼ぐネタにはなるかと

        …ほんと、スマートだなあ

      • by Anonymous Coward

        > では、まず電球を家から出してみてください

        そもそもスマート電球だけの話じゃなくスマートコンセント等のIoT全般のセキュリティの話をしているわけで
        そして最近はスマートコンセントにしろお掃除ロボットにしろ、必要もないのに勝手にクラウドに出て行くわけなんですがそれは

    • by Anonymous Coward

      下手な中華製品買えないのと一緒で、こういうlotデバイスはリモート爆弾(BOT)として使えるから簡単に手を出せない

      IP電話機も大丈夫なのかと思える今日このごろ
      海外のPanasonicのIP電話機がビジネスフォンの代わりとして使えそうと思ったけど日本で出ないのはそういう理由なのかな。。。。
      https://panasonic.net/cns/office/products/sipphone/ [panasonic.net]

    • by Anonymous Coward

      明かりをつけようとしたら
      「パスワードを入力(言って)ください」
      「Fiat lux」
      「あなたは神ではありません」

  • セキュリティは利便性とのトレードオフみたいな側面があるから「どこまでやれば十分なのか」という点については、攻撃側のシナリオの脅威度である程度変わってくるんじゃない?

    攻撃された場合の被害に応じてどれくらいのコストがかけられるかが変わってくるわけで、ひとくくりにIoT機器と言っても種類によって必要なセキュリティレベルはいろいろでしょう。

    • by Anonymous Coward

      それが到底把握しきれないから、考え無しに使うのは危険って話ですね。

    • by Anonymous Coward

      利便性とトレードオフになるような「セキュリティ」は前時代的なもので、今はどれだけ利便性に影響を与えずセキュリティが担保できるか考える時代。

      利便性を低下させるセキュリティは実効性が伴わないばかりでなく、逆効果になることも多いってのが認識されつつある。
      たとえば「定期的に英数大文字小文字記号を含んだパスワードの定期変更」は、付箋にメモして貼られるとか最悪な結果を招く。

      • by Anonymous Coward

        >利便性とトレードオフになるような「セキュリティ」は前時代的なもの
        前時代じゃなくて根本的なもの。前提。絶対になくならないもの。
        だからこそ
        >どれだけ利便性に影響を与えずセキュリティが担保できるか考える
        「も」今必要になっている。

        「この情報を守るためにはこのレベルのセキュリティを確保しなければならない。そのためにはこの程度の利便性の低下はやもなし。」という考え方は永遠に必要。
        その上で、ノウハウの蓄積により「こういう弊害がある。セキュリティ意識が低い場合こういう実効性の低下がある」への対策を立て続けていく。
        その一つに利便性の向上があるだけ。利便性向上そのものが重要というわけではない。

      • by Anonymous Coward

        > 今はどれだけ利便性に影響を与えずセキュリティが担保できるか考える時代。
        与えるから考えるって自分で言ってるな

        > 利便性を低下させるセキュリティは実効性が伴わないばかりでなく、逆効果
        だから、やらないというトレードオフそのもの

    • by Anonymous Coward

      何の知識もない年配層が電球やコンセントを無造作に捨てて、
      それをゴミ袋から盗んでパスワードゲットがすぐ思いつくシナリオ。

    • by Anonymous Coward

      セキュリティなんて買い換え促進させる時に、脅す為につかうもんでしょうに、まだ普及途中なのに記事にするのは早すぎる!

    • by Anonymous Coward

      で、日本が出すのは10倍の値段の電球。
      セキュリティを考慮したせいで専用アプリ必須、しかもそのアプリがクソという連敗パターンですね。

  • by Anonymous Coward on 2019年02月07日 10時50分 (#3561104)

    「内部ストレージには無線LANのパスワードなどが全く暗号化されず保存されていた」
    何ら問題ないのでは?

    • by Anonymous Coward

      破砕せずに捨てるとパスワードを抜かれる可能性があるという話

  • そういう例は、分析されている。
    1. 隣の家の部屋のwifiに外から入り込む。
      気にしていない人多いから。再設定するとパスワードもリセットされるし。
      もしかすると瞬間的な停電で、再設定しちゃう機器もあるかもしれない。
    2. wifiに接続しているbluetooth機器に入る。
      パソコン、スマホね。オレの機器には秘密情報は保存していない という人もいるからね。
    3. そこからbluetoothの機器に入る。
      どこの機械に接続しているか表示させない という設定もできる。
      オイラの賢くないスマートブレスレットも、bluetooth家電も表示されません。
      されてもTUBG80みたいな名前であれば何かわからない。
    4. 定常的、定期的にそこらの機器のID等をアップロードするベクタ入れる。
      電球なので、人がいなさそうな時は、判断できるし、稀に接続できれば充分目的果たせる。
    5. 電球としては普通に動作しているが、駆除できにくい穴のできあがり。
      同じ型の電球、複数インストールしてあるなら、自己ヒールする穴になりうる。

     というわけで、電球でも物理接触は不要だし、リスクの見積もりも簡単じゃない。
     
     もしかしたら勇ましいちびのトースターは本当に火星に行ける?
     で、重量オーバーになったロケットは、地上に落下したり、火星で止まらずどこか遠くにいってしまう。
    • by Anonymous Coward

      >1. 隣の家の部屋のwifiに外から入り込む

      電球関係なく、もうこの時点で終わりじゃないですか。
      IoT関係なくLAN内の端末の脆弱性探しまわるだけ。

    • by Anonymous Coward

      なに?
      隣の家のwifeに入り込むだと?

  • by Anonymous Coward on 2019年02月07日 11時46分 (#3561131)

    たとえば、PS3のOSなんかは、暗号化・電子署名が施されており、
    たとえセキュリティホールがあっても自由にコードを動かせず、
    解析も非常に難しかった(ブートローダーやLinuxのバグでやられちゃいましたが)

    いまの兵器なんかも、たとえ敵に鹵獲されても、プログラムの解析が非常に難しくなるように、
    ファームウェアも暗号化してあるだけじゃなく、ブートローダーからOS・アプリに至るまで暗号化・電子署名してあり、
    DRAM上のコード・データも暗号化されている

    暗号化して解析されず、かつ電子署名されたコードしか動かせないようにしてあれば、
    たとえセキュリティホールがあっても解析・利用するのが難しいのでは?

    • by Anonymous Coward

      つい最近だと面倒くさいのでセキュリティ機能全部無効化されてたのがバレた例があったな
      筐体破壊しないと攻撃が成立しないという話だったから脅威度は高くなかったと思うが

      セキュリティの最後の防壁は常に物理的な強制力なんで、暗号強度とか機構的な話は本質じゃないんだよね
      DRMなんか「攻撃者の手に解読器を渡さない」という原則を守らないからいくら策を弄しても何も効果ないでしょ

      • by Anonymous Coward on 2019年02月07日 12時27分 (#3561153)

        そういう意味でいうと、IoT機器のリスクは「利用者がそういう情報があると認識しない」ことかなぁ。

        PCにはいろんな情報が入っていると認識してるから、データを消さずに捨てたりはしない。
        でも、スマート電球はただの電球のつもりだからそのまま捨ててしまう。
        が、実際にはいろんな情報が入っていてそこからWiFiがハックされたりしてしまう。

        啓蒙が必要な部分もあるけど、商品の性質的に情報が入っていると意識し辛いものなので、ちょっと危険かも。

        親コメント
      • by Anonymous Coward

        で、開発側が頑張ってセキュリティ強度上げても
        軍事現場の設定パスワードは「00000000」だったりしたのって
        最近ニュースになってませんでしたっけ
        えてしてそんなもんです。

        • by Anonymous Coward

          逆張りかな。
          さすがにないだろうというところを突いている

    • by Anonymous Coward

      セキュリティホールがある時点で同じ(セキュリティ低い)ともいえる。
      特にソフトウエア的なものは、解析方法・利用方法が広まったら誰でも簡単に使えるようになることが多い。

typodupeerror

日本発のオープンソースソフトウェアは42件 -- ある官僚

読み込み中...