ShodanとCensys:IoT検索エンジンの危険性

2016年3月11日

周りを見回してみてください。私たちは今、モノのインターネット(IoT)に囲まれて暮らしています。日常生活の中で、自宅のWi-Fiルーターから交通信号管理システム、街頭防犯カメラに至るまで、インターネットに接続されたモノをいろいろと目にします。接続されているモノは、すべて現実世界とWeb世界という2つの世界で見つけることができます。

shodan-iot-search-featured

インターネット上で情報を検索するためにGoogleが存在するように、IoTデバイスを探すために特殊な検索エンジンが存在します。ShodanCensysです。

Shodanは、最初の(そしておそらく最先端の)IoT検索エンジンで、登場したのは7年以上前です。この名称は、『システム・ショック』というコンピューターゲームシリーズに登場するメインキャラクターである、邪悪な人工知能SHODANにちなんでいます。検索エンジンの方のShodanはそれほど悪辣ではないものの、害を及ぼす可能性がないとはいえません。ですが、そうした害についての話はさておき、まず検索エンジンShodanの具体的な仕組みを見てみましょう。

ある意味Shodanは、街中を歩きながら目に入った家のドアを一軒一軒ノックして回るセールスマンに例えることができます。違いは、Shodanがドアの代わりにIPv4アドレスを1つ1つ「ノック」することと、その辺の街どころか世界中を回っていることです。

そのセールスマンに、たとえば特定の種類のドアや、特定の区域にある家のドアについて尋ねたとしましょう。セールスマンは何かしら知っていて、そうしたドアがいくつあるか、誰が応対したか、何を言ったか、といった情報を提供してくれるはずです。ShodanもIoTデバイスについて同じような情報、具体的には呼び出し方法、種類、人が使用できるWebインターフェイスの有無などの情報を提供します。完全に無料というわけではありません。Shodanの全機能を利用するには、比較的低額ではありますが利用料を支払う必要があります。

shodan-search-example

Shodan検索の例

家のドアをノックすること自体に問題はありません。ただし、鍵もなければ悪人が押し入るのを阻止する人もいないドアだらけとなると、話は違ってきます。IoTの世界で、こうした不用心なドアに相当するのは、既定のログイン名やパスワードを使っている、保護されていないルーターやIPカメラなどのデバイスです。この手のデバイスのWebインターフェイスに侵入し、ログイン名とパスワードを割り出せば、何にでもアクセス可能です。各種IoTデバイスの既定のログイン名やパスワードについての情報は、デバイスメーカーのWebサイトでたいてい見つかるので、特に難しい技術が必要になることもありません。

IPカメラに侵入すれば、カメラに映る映像を見ることができますし、遠隔操作に対応した機種であれば操作も可能です。ルーターであれば、設定を変更することができます。ベビーモニターであれば、幼い子どもに恐ろしげな声で話しかけることもできます。どこまでやるかは侵入者の倫理観次第です。

Shodanで見つかるデバイスは、それだけではありません。たとえば、保護されていないX線撮影装置に侵入すれば、撮影されたX線写真を見ることができます。

Shodanでいろいろなモノを探してみるのは面白いものです。何が見つかるかを確かめたくて検索を試す人は大勢います。アミューズメントプールの設備の管理装置を見つけた人もいれば、原子力発電所に出くわした人もいます。洗車場、ビルの空調設備、ATMなど、インターネットに接続されていて、頭に思い浮かぶモノならほぼ何でも見つかるでしょう。当社のエキスパート、セルゲイ・ロズキン(Sergey Lozhkin)はたまたま医療機器を見つけましたが、その話は別の記事で紹介しました。

保護されていないIPカメラならば、被害はプライバシーの侵害程度です。しかし、先に出てきたようなアミューズメントプールの設備管理装置や列車の車載システムといったIoTデバイスの安全性に不備があり、それが良からぬ者の手で操作されることになったならば、局地的にかなりの範囲が大災難に見舞われるおそれがあります。ですから、こうした重要インフラのメーカーやシステム管理者は、IoTデバイスのセキュリティに厳重な注意を払う必要があります。

しばらくの間、IoT検索エンジンはShodanだけでした。2013年、Censysというライバルが登場しました(有料制のShodanと違ってこちらは無料)。IoT用検索エンジンとしての基本原理は同じですが、開発者によると、脆弱性の検索という点ではCensysの方が高精度です。というのも、Censysでは特定の脆弱性に関連するデバイス(たとえばHeartbleedの影響を受けるデバイス)の一覧が検索結果に表示されるのです。

Censysは、インターネットの安全性を強化するためのツールとして、ミシガン大学の研究者グループが開発したツールです。そもそもShodanもCensysもセキュリティ調査用として開発されたのですが、以前よりも注目を集めつつあるため、良からぬ目的に利用しようとする輩が大勢出てくることは確実です。

ShodanもCensysも、「本気の」サイバー犯罪者に利用される可能性は高くなさそうです。真の大物サイバー犯罪者たちは、まさに同じ目的で使えるうえにさらにパワフルな「ボットネット」を活用してきました。Shodanを開発したジョン・マザリー(John Matherly)氏がインターネット上のすべてのデバイスをpingしてマッピングするのには5時間しかかかりませんでしたが(英語記事)、数百台のコンピューターを駆使するボットネットなら、それよりも速く処理できることでしょう。

しかし、本気のサイバー犯罪者でなくても、ShodanやCensysを悪用して他の人にちょっかいを出そうとした者は大勢います。IoTのセキュリティに関する問題は、主としてメーカー側が解決すべきですが、IoTデバイスを所有するユーザーの側でも、デバイスの安全性を強化するためにできることがあります。今後、当ブログの「IoT検索」シリーズとして掲載する記事の中で、当社のエキスパートがそうした対策を紹介する予定です。