お粗末なモノのインターネット(その2):RSA Conference編

2015年5月8日

サンフランシスコ発 —陳腐な言い回しになりますが、コンピューターとネットワーク、そしてインターネット上の無限とも言えるデータを保護するというセキュリティ業界の使命は、ほとんど果たされていません。

言うまでもなく、従来の汎用コンピューターの安全確保は途方もない難題です。この10年ほどの間に、セキュリティ業界はモバイルについても同じような種類の新しい課題を抱えることになりました。従来のコンピューターやモバイルデバイスの保護を巡る戦いは、悪意あるサイバー犯罪者であれ道義的使命を負ったセキュリティリサーチャーであれ、仕掛ける側が圧倒的に優勢といっても過言ではないでしょう。

rsaconf-featured-VK

サンフランシスコのモスコーンセンターで開催されたRSA Conferenceの展示会場を歩いていると、理不尽な現実を目の当たりにします。ベンダー各社は何百万ドルもの予算を投じて多くのブースを出展しており、おびただしい数のセキュリティ製品とサービスを、同じく数え切れないほど集まったセキュリティのプロたちに売り込もうとしています。一方で、こうした製品の開発には莫大な額の投資が必要だというのに、ビリー・リオス(Billy Rios)氏(昨年、空港のセキュリティゾーンのハッキングに関するプレゼンテーションを行ったことで有名)やデイビッド・ヤコビー(David Jacoby)といった人たちはハッキングを実演して、ホームオートメーションシステム、ネットワーク、家電製品を完全に制御してみせているのです。

ちなみに、ここRSA Conferenceで行われるビジネスの大半は、企業と企業の取引です。消費者向けのセキュリティカンファレンスではありません。とはいえ、最近のニュース記事や、世界中でひっきりなしに開催されているセキュリティカンファレンスでは、個人のPCであろうと企業のPCであろうと、コンピューターが安全でないことがはっきりと示されています。にもかかわらず、IT業界全体は奇妙なデバイスを次々とインターネットに接続するという「名案」を積極的に推し進めており、その規模は急速に拡大しています。これがいわゆる「モノのインターネット」なのですが、こちらもコンピューターと同じく安全ではありません。

そんなわけで、セキュリティ企業Laconiclyの創設者であるビリー・リオス氏が、スマートホームオートメーションデバイスVeraに2年前からあった脆弱性を突き、このデバイスのネットワークと、ネットワークに接続されたすべてのコンピューターにアクセスしてみせたときもまったく驚きませんでした。

リオス氏は、Veraのクロスサイトリクエストフォージェリの脆弱性にエクスプロイトを仕掛け、改ざんされたファームウェアアップデートを受け入れるように変更しました。もっと詳しく言えば、フィッシングの手口を使って、ちょっとしたマルバタイジングが埋め込まれた悪質Webサイトに自分の(仮想の)標的を訪問させたのです。

Veraデバイスのファームウェアアップデートの仕組みが変更された後、リオス氏は自身が作成したファームウェアをアップロードしました。今回アップロードされたのは、実際にプレイできる『パックマン』のコピーでした。同氏の「悪意ある」ファームウェアは楽しいものでしたが、ポイントはそこではありません。重要なのは、その気になれば、他のいろいろなIoTデバイス(スマートロック、サーモスタット、照明、アラームシステム、ガレージのドアなど)を制御するデバイスに、どんなものでもアップロードできてしまうということです。

Dark Readingのケリー・ジャクソン・ヒギンス(Kelly Jackson Higgins)氏の記事によると、Veraはこのバグを修正する予定ですが、ファームウェアアップデートはまだリリースされていません。

その翌日、Kaspersky Labのシニアセキュリティリサーチャーであるデイビッド・ヤコビーが、悪意あるコード、エクスプロイト、フィッシング手法を組み合わせて、スウェーデンの自宅ネットワークに接続されたネットワークストレージデバイスに侵入しました。ヤコビーのプレゼンテーションは自宅ハッキングプロジェクトの一環であり、ストレージ以外にもさまざまなデバイスで実験を行っています。以前、Kaspersky Daily(当ブログ)で詳しく取り上げました。

ヤコビーは、こうした製品のメーカーにさまざまなセキュリティ脆弱性を報告したがまったく気にかけてもらえない、と言っています。彼のこの言葉が、現状を最も正確に表しているのかもしれません。こうした脆弱性の影響を緩和する最善策としてヤコビーが考えるのは、ネットワークのセグメント化です。しかし、ネットワークのセグメント化は非常に複雑な作業で、一般のユーザーには向いていません。

ヤコビーの発表から約20分後、ハードウェアハッカーで、セントラルフロリダ大学の助教でもあるイェ・ジン(Yier Jin)氏が、大人気のサーモスタットデバイスNestのバックドアの存在を発表しました。

ジン氏は、このバックドアから悪意あるファームウェアをNestデバイスにインストールできることを発見しました。さらに、Nestデバイスから同社のクラウドサーバーに送信される大量のデータを監視する方法も発見しています。ジン氏の説明では、重要なデータが送信されることも多いとされています。きっちり監視されれば、Nestユーザーがいつ家にいて、いつ出かけるのか、完全に特定されるようになります。基本的に、利用者がこのデータ収集をオプトアウトする手段はありません。さらに、ジン氏のルートアクセスを使ってネットワーク内の他のデバイスにアクセスし、Nestデバイスを無効化してネットワーク認証情報を平文で見ることも可能です。

まとめ — セキュリティに何千億ドルという金額が投資されているにもかかわらず、(お粗末な)モノのインターネットはもちろん、従来型コンピューターも、いまだに成すすべもなく攻撃にさらされ続けています。