スマートハウスは1週間で最大1.2万件以上の攻撃を受けたというNCCとGCAの共同調査データが出ていました。
www.which.co.uk
わずか1週間で1万回以上のハッキングの試み
NCCグループとIoTマルウェアのスペシャリストであるGlobalCyber Alliance(GCA)と共同でテストホームを設置し、デバイスに対するスキャンとハッキングの規模は驚異的でした。
ラボは2021年5月にゆっくりと開始されました。テストの最初の週に、世界中から1,017件のユニークなスキャンまたはハッキングの試みがあり、そのうち少なくとも66件が悪意のある目的でした。ただし、これは6月に組み込まれ、最も忙しい1週間のテスト中に、家庭用デバイスに対して12,807回のユニークなスキャン/攻撃の試みが見られました。
その週だけでも、弱いデフォルトのユーザー名とパスワード(adminやadminなど)を使用してデバイスに悪意を持ってログインしようとする2,435回の特定の試みがありました。これは、実際のハッカーが1時間ごとにデバイスにブルートフォース攻撃を仕掛けようとする14回の試みです。
キタきつねの所感
Info Security Magazineの記事でスマートホーム(ハニーポット)の記事が取り上げられていました。
※最近ここのリンクが拾い難くなったので、元ソースの記事を上記に貼っておきます。
自分の中のホワイトな倫理観が(まだ)邪魔して、この手の攻撃を仕掛ける事は無いのですが、一見脆弱そうに思えるスマートホームを探り当てたら、色々と試したく方は多いかも知れません。
そうした意味において、好奇心旺盛なハッカー(ブラックハット、ホワイトハット問わず)には、スマートホームは恰好の遊び場(=テクニックを試す場)になっていく可能性が高そうです。
まずは偵察行為として外接しているネットワーク口に対するスキャンから始まり、脆弱性の可能性を感じた場合は、本格的な攻撃に(ブラックハットハッカーの場合は)移行していく。他の(IoT)侵害インシデントと同じですが、攻撃ターゲットに”選ばれてしまう”と、集中的に攻撃を受ける事がよく分ります。
この実証実験で、ハッカーが狙った”IoT機器”についても記事には書かれていました。
日本ユーザも警戒すべきなのが、エプソン(≒キャノン)のプリンタでしょうか。 この実証では攻撃は防げた様ですが、管理者パスワードの脆弱性は最初に狙われると考えた方が良い事がよく分ります。
※この結果とは直接関係はありませんが、マイクロソフトのWindows Print Spoolerの脆弱性についての注意喚起が出ています。
CISA Offers New Mitigation for PrintNightmare Bug | Threatpost
エプソンのプリンターは、私たちのテストで実際の詐欺師にとって驚くほど最も魅力的なデバイスでした。幸い、これに対する攻撃は、適度に強力なデフォルトパスワードが設定されていたため失敗しました。これは、スマートホームを悩ます最も一般的な一括攻撃に対する基本的な保護です。しかし、ワイヤレスカメラはそれほどうまくいきませんでした。
£40のieGeekセキュリティカメラ(上の写真)はAmazonから購入しました。AmazonChoiceというラベルが付けられ、68%が5つ星を獲得したことを含め、8,500件以上のレビューがありました(2021年6月22日現在)。
設定して間もなく、誰かがデバイスにアクセスしてビデオフィードにアクセスできることを検出し、設定の一部を変更したことさえありました。
幸いなことに、Amazonは私たちの報告を受けてカメラを販売から除外しました。
次に警戒すべきが、監視カメラの様です。上記と同型のカメラは見つかりませんでしたが、ieGeekのネットワークカメラは、日本のアマゾンでも結構売られています。
こうしたカメラを導入している場合、最新バージョンへの更新やデフォルト管理者パスワードの強化、あるいは追加のセキュリティ設定など、他のIoT機器のセキュリティ対策でも同じですが、デフォルト設定のままにはせずにハッキングされる可能性を考えて利用する事が重要かと思います。
(偽装されている可能性もありますが)日本を含む、世界中のIPから攻撃が観測された様です。米国、インド、ロシア、オランダ、中国からの攻撃が多かった様です。
記事でも同様な分析がされていますが、こうしたIoT機器が乗っ取られると、DDoS攻撃のBOTとして悪用される他、自身のプライベートが脅かされる恐れもあります。
ただし、スマートデバイスに対するすべての攻撃の97%は、ルーター、ワイヤレスカメラ、接続されたプリンターなどの安全でないデバイスをプローブする広大なボットネットであるMiraiにスマートデバイスを追加するためのものであると推定されます。
Miraiはブルートフォース攻撃を使用して脆弱なパスワードを推測し、トロイの木馬をインストールしてボットネットに追加します。ここから、寄生虫は強力なハッキングツールとして使用できます。たとえば、2016年にTwitter、Amazon、その他の主要なWebサイトが一時的にオフラインになったときなどです。
悪意ある攻撃者は、”デフォルト設定”を狙っている事が、この調査データの中では一番の気づきかもしれません。
IoT機器のベンダーも、最近のWi-Fiルータ等がそうである様に、最初からすべての機器に一意の乱数パスワードを設定するべきな気もしますが、そうで無い機器も多々あるので、「初期設定変更」を行い、強固な管理者パスワードに変更する事を、会社でも自宅でも「必ず」実施する防衛策が重要かと思います。
テスト全体を通して、ieGeekカメラに対する2,260のみを含む、わずか5つのデバイスで合計2,684回の弱いデフォルトパスワードの推測が試みられました。
エプソンとキヤノンのプリンター、エールのセキュリティシステムとサムスンのスマートテレビもハッカーの標的にされましたが、わずかに強力で一意のデフォルトのパスワードの存在が攻撃者をかわすことができました。単純な変更は、ハッキングされるかどうかの違いです。
本日もご来訪ありがとうございました。
Thank you for your visit. Let me know your thoughts in the comments.
更新履歴
