Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS

やっぱり眼のつけどころが違う?

SankeiBizの11月17日記事を見て、ついつぶやいてしまいます。「眼のつけどころが違う」と。。。

www.sankeibiz.jp

スマートフォンでお掃除ロボットを操作する・・・必要があったのでしょうか、という根本的な疑問はさておき、外部ネットワークにつないでいるIoT機器はこうしたセキュリティリスクを常に考える必要があります。セキュリティ・バイ・デザインと言ってしまうのは簡単なのですが、OWASPジャパン(岡田さん)が提唱している様な、『シフトレフト』の考え方が重要なのだと思います。

記事では、『カメラ映像のぞき見』の原因は『セッションキー』を盗むことで容易に掃除機の乗っ取りが可能になるリスクという事ですが、脆弱性を発見したLACの研究者さんもおそらく指摘しているとは思いますが、カメラ映像のぞき見が出来るということは、恐らくMiraiの様なマルウェア被害を受けた場合には、DDoS攻撃も可能である脆弱性ではないかなと思います。

 

www.asteriskresearch.com

余談にはなりますが、OWASP岡田さんの講演でのシフトレフトの考え方はとても感銘を受けました。まだご存知ないセキュリティ関係の方がいましたら、是非ご一読を。

 

news.mynavi.jp

 「目には目を」のイラスト