概要
2月の頭に再び1週間程度の休暇を取ることができ、2月1日に香川に戻ってきました。
これから9月ごろまで忙しくなりそうなので、その前にということで。
遅くともクリスマスには帰れるさ、ハハハ...
さて、そんなわけで帰って来て早々に参加したのが今回レポートする勉強会、セキュリティうどん(かまたま)の17杯目です。
Twitterのハッシュタグは #secudon ですので、イベントの様子が気になる方はTwitterで検索してみてください。
セキュリティうどん(かまたま)でIoTセキュリティのハンズオン勉強会に参加しました。WebカメラやLEDライトをRaspberryPiから制御してみましたよ。#secudon pic.twitter.com/BBWEcTxTiI
— Hiroki (@taniokah) 2020年2月1日
おやつありがとうございます🍘
— Tomohiro Kobayashi (@kobatomo3H) 2020年2月1日
#secudon pic.twitter.com/0UI67GsXDI
↑当日の様子
告知用のTwitterアカウントもあります。
この勉強会はこれまでも16回+α開かれているそうで、過去にはゲーム形式のHardeningをやったり、マルウェア判定についてハンズオン形式で学んだりと、かなり「実際に触ってみる」という雰囲気の強い勉強会になっています。
私はこの会への参加は初めてで、今回のテーマであるIoT機器耶蘇のセキュリティについても実はこれまであまり触ったことのない分野です。
ただ、踏み台攻撃やWebカメラの盗聴などの話で話題に上ることも多くなってきた分野なので、そろそろ何か触れるところから学んでおきたいなという思いで参加しました。
ちなみに私のセキュリティ能力は去年秋のセキスペの午後2試験がギリギリ67点で落ちたレベルです。
今年の秋にもう一度リベンジする予定です。
やったこと
今回はIoT機器を脆弱性情報を参考にして実際に攻撃するという内容のハンズオンが行われました。
詳しい実際のやり方を書くと書く方向から怒られるそうなのでアウトラインだけ書いておくと、ラズベリーパイを通してIoT機器に接続し、IoT機器へのログインに必要なパスワードを盗み出したり機器のOSに侵入したりといったことを体験しました。
こういったことが、ネット上に存在する脆弱性レポートのとおりに実行すれば攻撃できてしまう!ということを実感できるハンズオンでした。
所感
私自身セキュリティどころかネットワークまわりもそこまで知識があるわけでなく、初めに会場に入った時は機器と配線を見て「これはいよいよ背伸びしすぎたかな」と思ったりしました。
というか、ネットワークの攻撃もラズベリーパイも初めての攻撃実践についてはペーペーの状態での参加です。
しかし、ハンズオンで共有された講師の方が作られた資料の内容はかなりしっかりしていて、最低限そこに書いてあるとおりにコマンドやコードを打てば実行できるようになっていたのでなんとかついていくことができました。
「高度な知識がなくても攻撃を実行することはできてしまう」という話がハンズオン中何度か出ましたが、実際にその通りだと感じました。
気になったトピック
IoTセキュリティのしっかりした機器を買おう!という話
今回サンプルとして使用したIoT機器は、どれも実際に購入できるものでした。
しかし、そうして入手できる機器の中にはセキュリティ対策の不十分なものが多くあるようです。
これから購入しようとしている機器に脆弱性がないかどうかは購入する前に十分に調べる必要があります。
そもそもそんな脆弱性のある機器はメーカーの責任で改善されないのかという話もありますが、メーカーが海外のものであることやその機器が安全であるとする基準が国によって異なるため、あまり期待はできないようです。
そういった背景から、IoT機器のセキュリティの強度は大部分が利用者の側に依存するのかもしれないなと感じました。
差し当たりまだ自分の部屋にIoT機器を導入し足りすることは考えていませんが、何かやってみようと考えたときは機器選びから設定まで強く意識する必要がありそうです。
おわりに
今回は休暇を取って香川に帰省したその日に参加した勉強会のセキュリティうどん(かまたま)の17杯目に参加したレポートをしました。
初めてのラズベリーパイ、初めてのIoT機器の攻撃でしたが丁寧否説明で攻撃の手法やその周りでIoT機器を利用する際に気を付けることなどを学ぶことができました。
また、その後のおやつ会やLT、希望者で集まっての懇親会などを通してたくさんの方とお話しすることもできてとても参考になることも多く何よりめちゃくちゃ楽しかったです。
当日参加された方、主催者の方々、どうもありがとうございました!
