電球からインフラ制御システムまで、ありとあらゆる「モノ」がハッキングの対象に――米国セキュリティカンファレンスレポートセキュリティ・アディッショナルタイム(12)(2/3 ページ)

» 2016年09月01日 05時00分 公開
[高橋睦美@IT]

便利と危険のトレードオフ――メーカーの責任とユーザーの自覚を

 医療機器のように高価で複雑な仕組み以外にも、身近なところに脆弱性は存在する。

 Black Hat Briefingsで「A Lightbulb Worm?」と題する講演を行ったColin O'Flynn氏は、フィリップスが提供するスマート照明システム「hue」のOTAファームウェアを解析することで、リモートからの制御が可能であり、理論上、自律的に照明システムで感染を広げる「ワーム」も実現可能であると説明した。

 hueはZigBee Light Link(ZLL)を活用したスマート照明システムだ。クラウド上からダウンロードできるファームウェアを通じて、場所を問わずに照明機器を操作できる。だが逆に、ワイヤレス接続に用いられるブリッジやファームウェアをハックすれば、リモートから攻撃者がコントロールすることも可能ともなる。O'Flynn氏とともに研究を行っているEyal Ronen氏は、ZigBeeのウォードライビングやドローンを用いた「ZigBeeウォーフライング」によって、リモートから照明のオン・オフなどを行うデモ動画を紹介した。

 O'Flynn氏はさらに、hue本体を手に入れ、オシロスコープによって観測した波形とバイナリを突き合わせてロジックを解析することで、メモリを上書きし、ファームウェアをアップデートすることも可能だと説明した。「こうしたスマート電球にはリスクがあるが、便利でもある。そのトレードオフに留意しなくてはならない」(同氏)。そしてこうした問題を引き起こさないよう、過去のセキュリティのベストプラクティスに習って適切にファームウェアを暗号化し、鍵管理を行うことが必要だと同氏は結論付けた。

ユーザーも自分自身でプライバシーを保つ努力を

 DEF CON 24においても、さまざまな「モノ」を対象に、脆弱性を指摘するセッションが行われた。

 Fred Bret-Mounet氏は、Tigoが提供する太陽発電システム「Energy Maximizer」のローカル管理ユニットに、オープンなアクセスポイントと、ユーザーに明示することなく用意されているOpenVPNコネクションが存在していることを発見し、ベンダーに連絡するまでのいきさつを紹介した。

 この管理ユニットには、よくある家庭用機器と同じようにhttpdが搭載されていた。Bret-Mounet氏はHydraやNetCatといったツールを用いてログイン試行を繰り返し、そのルート権限を取得できることを実証。さらにシステムをチェックしたところ、利用規約や説明書などには一切記述のない、継続的なVPNセッションがベンダーとの間に張られていることも判明したのだという。

 Bret-Mounet氏がこの一連の経緯をベンダー側にメールで通知したところ、度重なるやりとりの末にようやく問題を認識してもらえたそうだ。ベンダーはあくまで「開発用の機器が誤って販売されたもの」と説明したというが、「少なくとも私からのセキュリティ問題に関するコンタクトをシャットアウトせずにコミュニケーションを続け、最終的には影響を受けたユーザーに代替機を送る措置をとったことは、ほめられるべき対応だろう」と同氏は言う。

 また、Bret-Mounet氏は最後に「IoTの世界において、家庭のネットワークが第三者によって遠隔操作されたらどんなことが可能になるだろうか。モニタリングされたり、ボット化されたりする恐れもある」と述べ、物理的な被害以外にも問題は起こり得ると指摘した。さらに、ベンダーにとってセキュリティを確保するのは責任の1つだとすると同時に、「シートベルトのない車を買わないのと同じで、きちんとその機器が何をするかを理解し、自分自身でプライバシーを保つ努力を取るべきだ」とユーザーにも自覚を求めた。もちろん、その前提として、責任あるセキュリティ情報公開の仕組みや透明性の確保は欠かせないだろう。

セキュリティを確保するはずの機器に脆弱性、「笑い男」が現実に?

 Ricky “HeadlessZeke” Lawshae氏は、入退室管理システムや監視カメラといった物理的なセキュリティシステムに対し、ネットワーク経由での攻撃が可能であることをセッションで説明した。「ネットワーク経由で管理ができれば簡単で使いやすくなるが、これは同時に攻撃の懸念ももたらす」(同氏)。

 Lawshae氏は、本来ファシリティや資産を守るはずのドア開閉システムや監視カメラの機器本体、あるいはその管理ソフトには、さまざまなセキュリティ上の課題があると指摘した。例えば、ドア開閉システムに対しリプレイ攻撃を仕掛けることでロックを解除したり、コマンドインジェクションの脆弱性を悪用して制御したりするといった攻撃の可能性が考えられる。機器によってはブロードキャストでコマンドが送信されるため、「攻撃によってビル全体のロックが解除される」といった漫画のような事態も考えられる。

 また監視カメラについては、DoS攻撃を受けて本来の監視機能を果たせなくなる恐れに加え、MITM(Man In The Middle)攻撃の可能性も指摘した。「通信が暗号化されていないため、フレームをインターセプトし、改ざんすることが可能だ。Opencvを使ってカメラに映る人物の顔を認識し、『笑い男』の画像に変えることだって可能だ」(Lawshae氏)。

 こうした問題に対してLawshae氏は、「ネットワークを分離し、その中の行動を予想可能なものにすることで、異常な動きを見つけやすくなるだろう」と緩和策を紹介した。そしてブレッド氏同様、「パッチ適用を容易にするためベンダーが情報公開を進めるとともに、ユーザー自身も導入する機器をきちんと監査し、脆弱性がないかをチェックすべきだ」とした。

DEF CON会場では、興味関心を同じくする有志が集まり、車やIoTをはじめさまざまなものをリアルにハックした DEF CON会場では、興味関心を同じくする有志が集まり、車やIoTをはじめさまざまなものをリアルにハックした

Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。