SHODANとCensys

port_002_R

インターネット接続機器のセキュリティ検査

データが丸見えの状態になっている複合機やプリンターのことが2015年1月の朝日新聞で大きく報道されていました。その報道を受けてIPA(独立行政法人情報処理推進機構)は改めて注意喚起をしていました。この問題は以前から指摘され、改善がされつつあると思われていたのですが、現状はあまり進んでいなかったということなのかもしれません。

IPAは2014年2月には、「組織のネットワークや機器の管理者は、インターネットから機器への不要な通信を遮断するか、適切な設定でインターネットに接続するなど、安全な運用の継続が求められる」と早急の対応を促し、そして、不適切な設定でインターネット上に公開されている機器を発見し、速やかに対処するために「SHODAN」を活用した検査方法の技術レポートを公開していました。「IPA テクニカルウォッチ 『増加するインターネット接続機器の不適切な情報公開とその対策』~「SHODAN」を活用したインターネット接続機器のセキュリティ検査 ~」という17ページ余りのPDF版です。

 ipa_001_R

オフィス機器のセキュリティ対策

(「IPA テクニカルウォッチ 『増加するインターネット接続機器の不適切な情報公開とその対策』~「SHODAN」を活用したインターネット接続機器のセキュリティ検査 ~」より)

SHODAN

SHODAN は、2009 年にJohn Matherly 氏によって開発された検索エンジンです。SHODAN には、ウェブサーバーだけでなく、オフィス機器、情報家電、信号機や発電所の制御機器なども含めて、インターネット接続されているさまざまな機器約5億台の情報がデータベースに格納されており、利用者はその機器の情報をウェブで検索できるというものです。利用者がサイト上からIPアドレスやドメイン名、ポート番号などを条件に検索すると、該当するシステムの詳しい情報を入手できます。

前述のIPAの技術レポートによれば、2014年2月現在でSHODANに登録されている機器は下図のようになっています。

 port_001_R

「IPA テクニカルウォッチ 『増加するインターネット接続機器の不適切な情報公開とその対策』~「SHODAN」を活用したインターネット接続機器のセキュリティ検査 ~」より

先の記事は複写機やプリンターでしたが、インターネット上に存在するIoTデバイスを見つけ出すことも可能なため、SHODANが再び注目されているようです。

ところでSHODANは、収集したデータを研究者に有効活用してもらうことと、システム的な脆弱性の発見を主な目的としているようなのですが、一方で、サイバー攻撃者が標的にできるシステムを探すといったことに使われることも心配されています。

「Insecam」と呼ばれるWebカメラ検索サイトで、コンビニなどのカメラがのぞき見できることがニュースになっていました。ある地方では、お寺の境内に設置されたカメラや工場内に設置されたカメラが検索サイトから簡単に見ることができたとしてテレビのニュース番組で報道されていました。こうしたことは、SHODANなどを使い、ビデオ共有プロトコル(Real Time Streaming Protocol 、ポート554)を介して共有されているWebカメラを見つけたことによるものと思われます。SHODANも使いようによって薬にもなれば毒にもなるというわけです。

 shodan_001_R

(https://www.shodan.io/ より)

Censys

CensysはSHODANと似た検索エンジンで、ミシガン大学の研究者らにより2015年10月にリリースされました。2015年12月のMIT Technology Reviewにも、「A Search Engine for the Internet’s Dirty Secre」というタイトルでとりあげられていました。記事には、オーストリアのセキュリティ企業SEC Consultのセキュリティ研究者らが、家庭向けルーターメーカーとIoTデバイスがメーカーの手抜きをしたため、300万台のIoTデバイスがハイジャックされる脆弱を発見した。その際、使用したのがCensysだということが書かれています。

Censysは、インターネットに接続されたホストやネットワークを検索することができます。Censysには「Zmap」という「オープンソースのネットワークスキャナー」と「ZGrab」という「アプリケーションレイヤースキャナー」が使われているそうで、Zmapは、インターネット上にあるすべてのIPv4アドレスをわずか45分でスキャンできるというものです。なお、CensysはSHODANと同じように研究用途向けとして公開されており、詳細は「A Search Engine Backed by Internet-Wide Scanning」(https://jhalderm.com/pub/papers/censys-ccs15.pdf)で確認できます。

 censys_001_R

(https://censys.io/ より)

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です