TOPセキュリティ > DEF CONのIoTハッキングイベント、23製品で47件の...

セキュリティ

DEF CONのIoTハッキングイベント、23製品で47件の脆弱性を発見

2016/09/15

Lucian Constantin IDG News Service

 2016年8月に米ラスベガスで開催されたセキュリティカンファレンス「DEF CON」では、IoT(モノのインターネット)のハッキングに関するイベント「IoT Village」が昨年に続いて開かれた。この中では、スマートロック、スマート南京錠、サーモスタット、冷蔵庫、車いす、果てはソーラーパネルまでもが、ハッキングの対象となった。

Credit: Stephen Lawson

 IoT Villageでは、IoTのセキュリティに関するプレゼンテーション、ワークショップ、ハッキングコンテストが実施された。開催から1カ月がたって判明した結果によると、21のメーカーが開発した23の製品で、47件の新たな脆弱性が明らかになった。

 見つかった脆弱性は、例えば平文のパスワードをハードコーディングしているなど、設計上の判断が甘いものから、バッファーオーバーフローやコマンドインジェクションを可能とするようなコーディング上の欠陥まで、多種多様だ。

 ドアロックや南京錠で脆弱性が見つかったのは、Quicklock、米iBlulock、Plantraco、台湾Ceomate、中国CQ Group International(Elecycle)、中国Shenzhen Vians Electric Lock(Vians)、Lagute、Okidokey、Danalockといったメーカーの製品で、パスワードスニッフィングやリプレイ攻撃が可能だった。捕捉したコマンドを後でそのまま再送信する手法で鍵を開けられるということだ。

 ある車いす(メーカー未詳)には、安全機能を無効化して動作を乗っ取ることができる脆弱性があった。また、Traneのあるサーモスタット製品は、平文の脆弱なプロトコルを使用していたことから、機能を不正に操作でき、過熱、暖房炉の障害、水道管の凍結を引き起こす攻撃が可能だった。

↑ページ先頭へ