年末年始ハッキング注意報:IPカメラをはじめとするIoT製品
こんにちは、1年ぶりに戻ってきました笑
新年の挨拶、だいぶ遅くなっちゃったんですけど、明けましておめでとうございます。
今年もみんな元気で幸せたっぷりな一年になりますようにー ♪(´▽`)
この頃は時期が時期なんで、あちこちで年賀状やプレゼントが届いてきます。
たくさんのプレゼント商品があるだろうが、
その中でもIPカメラが目立ち、人から好まれているそうです。
IPカメラは一人暮らしの部屋に防犯用で置く人もいれば、
また「家にいる赤ちゃんやペットの姿を見て声を聞けるので安心だな~」
っていう人もけっこういるらしい。
IPカメラはIoT(Internet of Things, モノのインターネット)技術を活用している装置の一種で、カメラでなくてもAIスピーカー、コードレスの掃除機などのように、IoTを活かして人生に利便性を与えてくれる製品の形はたくさんあります。
それらの製品は共通的にインターネットの網を使って作動します。
だったらもし、
それらネットを通じてハッキングが行われたら、どうなるんでしょうか。
1. ハッキングされたらどうなるの?
1) (家の中を)撮影した画像・動画をダークウェブなどに不法流布
2) 特定の脆弱性を通じて悪性コードを感染させてDDoS攻撃に使用する「ゾンビ―デバイス」化させる
2. 実例
公開情報であるOSINTの検索エンジンのCriminal IPに関連キーワード(IP Camera)をかけて検索してみると、実際にどんなデバイスがどんな脆弱性を持っているか把握することができます。
検索結果の1つを無作為で選択してみたら、なんのログイン認証もしなくても撮影中の画面をそのままみられる場合もありました。
実際に「Wireless IP Camera(P2P)WIFICAM」という製品に認証バイパスの脆弱性(CVE-2017-8225)があることが後で判明され、販売された数多い製品がボットネットに感染する事例もありました。
3. 被害の防ぎ方
セキュリティに脆弱なところがあるIoT製品は普段、信じられないくらい安い値段を全面に出して消費者らを誘惑します。特に、ちょうど今時期はおトクの値段で販売してもおかしくない名分があるので、時期的にも危険だと言えるでしょう。
そのようなハッキングの被害を予防するためには、
次のことを守らなければならないです。
1) 検証済の製品を使う
セキュリティ安定性が検証された製品を使うこと
2) ログイン設定の変更
デバイスにログイン認証を設定して、複雑なパスワードに、周期的に変更すること
3) アップデートはその場ですぐ!
ソフトウェアはいつも最新バージョンにアップデートすること
4) 振り返りは何度やっても足りない
OSINTを使って使用中のデバイスがインターネットに漏えいされているのではないか、または脆弱性をもっているのではないか確認すること