] 【Bitdefender海外ブログ】IoT検索エンジンを使えば30,000台以上のIoTデバイスのパスワードを丸見えにできる | SECURIE(セキュリエ)-BEST SECURITY FOR EVERYONE-

事例Use case

【Bitdefender海外ブログ】IoT検索エンジンを使えば30,000台以上のIoTデバイスのパスワードを丸見えにできる

2019.1. 9

ツイート シェア 送る はてブ

dahua.jpg

IoT検索エンジンによってIoTデバイスのパスワードが丸見えに

Bitdefender BOXブログでは、お使いのIoTデバイスに常時最新のセキュリティパッチを適用しておかない場合の危険性について、度々警告しています。脆弱なデバイスをオンラインのまま放置していると、いずれインターネットを経由して、その欠陥から不正目的でハッカーに侵入され、デバイスを乗っ取られる危険が常にあります。

ところが、あるIoT検索エンジンが検索結果内のパスワードをキャッシュしているため、少なくとも1種のインターネット対応デジタルビデオレコーダーのハッキングが極めて容易になっていることが発覚しました。

セキュリティ研究者であるアンキット・アヌブハブ(Ankit Anubhav)さんは先週、Twitter上で、インターネットからDahua製デバイスへのアクセスが可能であることを注意喚起しました。

twitter.PNG

『IoTデバイスのハッキングが限りなく容易になりました。接続すらせずに、Dahuaデバイスの認証情報を取得できてしまいます。(スレッド)(1/n)#iot #infosec』

脆弱性の指摘をうけるも、メーカーは5年間も未対応。脆弱性は放置されたまま

この中国系メーカー製デジタルビデオレコーダーの脆弱性が初めて注目されたのは、5年前のことです。何年も前からパッチが提供されているにも関わらず、何万台ものデバイスのファームウェアが未だに更新されていません。

この欠陥により、攻撃者は認証チェックを迂回して、遠隔地点からDahau製デジタルビデオレコーダーのユーザー名やパスワードなどの機密データを取得し、パスワードの変更、ログファイルの削除などの活動を実行することができます。

また、この脆弱なDahau製デジタルビデオレコーダーは、CCTVカメラシステムに接続されることが多く、この欠陥から、プレーンテキストのログイン認証情報をZoomEyeなどの一般アクセス可能なIoT検索エンジンに分離しています。

ちなみに、IoT検索エンジン「ZoomEye」は、脆弱なDahau製デジタルビデオレコーダーのパスワードを収集していません。デジタルビデオレコーダーのポートがスキャンされる際に、戻されたものをキャッシュしているだけです。

アヌブハブさんは、脆弱なデバイスの多くは "admin123" などの脆弱なパスワードを使用していると報告しています。15,800台近くのDahau製デバイスが、"admin" というパスワードを使用しており、600台以上が恐らく最悪のパスワード("password")を使用していました。また、13,900台以上のデバイスが、たとえば "123456" という(極めてお粗末な)パスワードを使用しています。

dahua-scan.jpg

現在も3万台以上のIoTデバイスが、いつでも乗っ取られる状態にある

全体で30,000台以上の脆弱なデジタルビデオレコーダーがインターネットに接続されていることが判明しました。

強力なパスワードを設定していないユーザーは、恐らくDahau製デジタルビデオレコーダーのファームウェアを最新状態に保っていない確率も高いでしょう。

ただし、Dahau製デジタルビデオレコーダーが脆弱なパスワードで "保護" されているかどうかに関わらず、重要な事実があります。IoT検索エンジンが、脆弱性を利用してデバイスのパスワードをキャッシュできるならば、強力で独特なパスワードを設定していても意味がありません。

アヌブハブさんは「ZoomEye」に対し、結果のキャッシュからパスワードを省くように要請しましたが、今のところ対策は講じられていないようです。

IoTをお使いの一般的な家庭にお住まいのユーザーや、IoTを導入している成長企業で働く社員は、デバイスのファームウェアが、メーカー側によって自動的に最新状態に保たれていると信頼しているだけでは危険なことは明らかです。

多くのIoTデバイスは低コストで制作され、セキュリティはほとんど考慮されていません。ご家庭や職場のインターネット対応デバイスを乗っ取られたくなければ、自分の身を守るための適切な方法を見つける必要があります。

翻訳元記事:IoT search engine exposes passwords of over 30,000 vulnerable DVRs


SECURIEでスマート家電やIoT機器を保護

SECURIE (セキュリエ)powered by Bitdefenderはご家庭のwi-fiネットワーク全体を保護する、ホームネットワークセキュリティです。パソコン、スマートフォン、タブレットだけでなく、インターネットに接続するテレビ、スマートスピーカー、ゲーム機、デジタルビデオレコーダーなどを含む、全てのネット接続機器をサイバー攻撃の危険から保護します。

1.Bitdefender Centralアプリ
Bitdefender BOXの設定・管理はBitdefender Centralアプリで行います。TOPのアクティビティ画面では、保護されたトラフィック量が1時間ごとに表示されます。

android5.png

2. デバイス検知・デバイス管理
家庭のネットワークに新しいデバイスが接続すると、BOXがそれを検知してBitdefender Centralアプリに通知します。管理者はそのデバイスの接続を許可するかどうか、またファミリー・ゲストに振り分けるなどのアクションを取ることができます。接続されているすべてのデバイスの保護状態を可視化し、一元管理できるので安心です。

IMG_4092.PNG

3.ぜい弱性診断
指定したデバイスに対して、ネットワークセキュリティ上の欠陥がないか、スキャンを行うことができます。たとえばユーザー名・パスワードの組み合わせが弱いものになっている、ファームウェアのバージョンが古い、CVE脆弱性がある、などです。これらのぜい弱性が見つかった場合、Centralアプリに通知が届き、対処方法などをユーザーに知らせてくれます。

20180417_005458000_iOS.png