何であれインターネットに長くつないでおけば、いずれ誰かにハックされる。
メーカーは相変わらずわかりきったパスワードを設定してデバイスを出荷しているのが現実だ。 デフォールト・パスワードの情報は簡単に手に入るので無数のデバイスに誰でも簡単にadminとしてログインできる。それどころかパスワードが設定されていないシステムも多い。
Shodan Safariをご存知だろうか? ゲーム半分、社会への鬱憤晴らし半分といったサイトだ。ハッカーはここにShodan検索エンジンで発見した最悪の情報を投稿して拡散しようとする。Shodanはインターネットに接続されているシステムをすべて検索するデータベースで、これ自体はセキュリティー専門家にも便利なツールだ。Shodanの巨大な検索エンジンはIoTデバイスであれサーバーであれ、インターネットを通じて接続可能なシステムを片っ端からクロールしてタグづけする。
Shodanが収集する情報には開いているポート番号も含まれる。このポートがオープンしているなら多分ウェブカメラだ。このヘッダーが返ってくればバックエンドはブラウザで閲覧可能だ。Shodanはこれらの情報によってデバイスの種類や機能を推定する。
Shodanで発見した報を交換するShodan Safariはインターネット版のゴミ捨て場漁りだ。
ここにカメラからルーターまで、病院のCTスキャナーから空港の危険物探知機まであらゆるシステムの情報がある。驚くと同時に憂鬱になる。こうしたシステムには悪意あるハッカーが自由に侵入できるのだ。
プールと付属トイレからマリファナの鉢、はてはヤギ小屋まである。
Shodanの情報を見れば恐怖を感じるだろう。インターネット上のあらゆる危険への窓だ。このフォーラムを通じて拡散されているのはデバイスのパスワードだけではない。2段階認証コードから有権者の投票履歴、誰かが今晩ジムに行く予定までアップされている。もちろんデバイス関連がメインだ。上でも触れたようにCCTVカメラの情報は非常に多い。自動車のナンバープレート、スマートホーム・デバイス、大人のおもちゃ、等々。何かをインターネットに接続すれば、必ずShodanに捕捉されると思ってよい。
デバイスのメーカーに覚えておいてもらいたいのは、どうしても必要があるのでなければ、インターネット接続機能を付加するなということだ。
以下にいくつか最悪のリークの例を挙げておく。読者が興味ある発見をした場合は、zack.whittaker@techcrunch.comまでメールされたい。
(原文へ)