SK INFOSECは1月30日午前、ソウル市中区に位置したペロムタワーでEQST定期メディアデーイベントを開催した。

今回の行事はSK INFOSECがIoTハッキングとプライバシー侵害をテーマにした発表とハッキングデモを披露するために設けられ、イ・ジェウEQSTグループ長、キム・テヒョンEQST Lab長、チャン・ヒョンウクEQSTグループ/Lab専門委員などの関係者が参加した中で行われた。

EQSTはSK INFOSECの保安専門家グループとしてサイバー脅威分析と研究をはじめ、実際のハッキング事故現場で侵害事故対応を務めている。また、この日の発表では国内外の機関調査結果を引用してIoT機器の爆発的な増加傾向とともに家庭用IoT機器に対するハッキング危険を集中警告した。

▲SK INFOSECのEQST定期メディアデーが開催された。

▲キム・テヒョンEQST Lab長が発表した。

発表によると現在全世界でインターネットに接続されるデバイスの数は18年基準170億を超え、活性化された170億のデバイスのうちIoT関連機器は70億個に到達しており、2025年には200億個を超える見通しだ。これにより国内の新規脆弱性申告・補償件数は前年に比べ増加傾向にあり、18年度にIoT攻撃の80％はSatori、Miraiボットネットと表れた。

Miraiボットネットは管理者アカウントの設定が脆弱なIoT機器をスキャン、接続してマルウェアを伝播する方式で動作し、16年度IoT機器で構成された大規模なボットネットにDDoS（分散型サービス拒否攻撃）攻撃を発生させた。Miraiボットネットの国家別感染程度の分析結果では韓国が4％で8位に終わったが、面積がもっと広い日本より高いパーセントを示していて安全なものではない発表された。Miraiボットネットは新しい方法ではなく既存にあった方法であるがIoT機器は保安が脆弱であるため簡単に攻撃を加えることができる。

また、2017年の情報保護実態調査の結果によると国内IoTユーザーが最も多く利用する製品はスマートホーム機器であり、主な懸念事項としては管理脆弱性の増大、個人情報侵害の脅威増加、サイバー攻撃強度と可能性の増大を挙げた。保安性が不十分なIoT機器はインターネット上で習得可能なアカウント情報でシステムへアクセスされ、ハッカーの攻撃ツールとしての使用が可能である。実際にポータルサイトに「デフォルトパスワード」を検索するだけでIoT機器の管理者アカウント情報を簡単に習得することができて危険だと紹介された。

次に、IoTハッキングによるプライバシー侵害事例が発表された。まず、Webサーバーハッキングで習得した情報でIPカメラに無断にリモートアクセスした後、プライバシービデオファイルを奪取する方法が紹介された。その例としては去年にも問題が多かったペットのためのホームIoT機器をハッキングした事件や、アメリカで赤ちゃんのため設置したベビーモニターをハッキングした事例があった。また、マイクやスピーカーが内蔵されたスマート玩具をハッキングし、リモートでデバイスを制御してサーバーに保存された個人情報を奪取するなどの事例もあり、今年初めにはデジタルドアロックが開けるときに発生する信号をハッキングして人為的にドアを開けた場合もあった。

続いてウェブカメラハッキング事例も発表された。ノートパソコンのカメラや路上CCTVなどのウェブカメラハッキング事例が増えるにつれ、科学技術情報通信部でモニタリングサービスをした結果、18年度第1四半期の3,568件から第3四半期の256件に件数が急激に減少した。継続的な政府のモニタリングでウェブカメラハッキングの数が減少したものの、現在も多くの映像がリアルタイムで露出されている状態である。

最初の例としてロシアのIncecamサイトが紹介された。Incecamはサイト内のGHDB＆Shodanを通じて管理者のID、パスワードなどの基本設定値を変更していないページを収集し、メインホームページ内で脆弱なウェブカメラの一覧を通じて観たい国のCCTVをリアルタイムで 観ることができるようにする。それだけでなくCCTVの管理者モードで認証手続きがない点を利用してCCTVの情報まで公開する。

これと共に周辺の帯域IPをスキャンして管理者ID、パスワードなどを変更していない基本設定値を通じてログインした後、脆弱なウェブカメラにアクセスおよび操作するIP Scannerも紹介された。同様に基本設定値を変更していない公開AP(サーバ保存型カメラ)にアクセスして、Webカメラを使用しているIPを把握しポートスキャンを通じたTelnetサービスを使用するかどうかと、基本IDやパスワードでアクセスしてウェブカメラの録画ファイルを奪取する場合もあった。

EQSTはこれらのIoT機器の保安対策としてWebカメラ製品ごとに異なる安全なパスワードを設定して、WebカメラやAP機器の定期的なファームウェア更新を実行することを勧告した。また、KISAで実施している「IoT製品保安認証サービス」を紹介し、2月から施行される「IPカメラ・CCTV初期パスワード個別設定と変更義務化」に従うことを提案した。

キム・テヒョンEQST Lab長は「Webサービスが発展されながらハッカーは個人情報の奪取でお金を稼ぐことに楽しみを感じ、IoT機器の増加はこれらのハッカーたちに興味深いコンテンツになった。今後5Gが拡散されるとより多くの脅威的なプライバシー侵害が生活の中で起こると予想されている」と述べた。続いて彼は「ウェブカメラのハッキングにはいくつかの種類があるがほとんど管理者アカウントとパスワードが基本値に設定されている機器から狙うため、パスワードを変更設定するだけでもハッキングの危険が大幅に減少するという事実を忘れてはならない。」と付け加えた。

これと共にTor（The Onion Routing）などの特定ソフトウェアを利用してこそアクセスできると紹介されたダークウェブ（Dark Web）は一般的なブラウザやドメインではアクセスできなくて請負殺人、麻薬、違法映像配布、違法取引などが行われ、海外の有名芸能人の個人情報およびビデオ、IPカメラハッキング動画、ウェブカメラなどそれに伴う侵害事例も発表された。

最後にイ・ジェウEQSTグループ長がIoT診断領域の拡大と体系化のための保安を進めると発表した。IoT機器に対する保安コンサルティングを通してはIoT環境を分析して情報保護領域別の脅威を識別したりリスクを分析・評価し、模擬ハッキングによる保安ソリューションを披露する予定である。また、保安コンサルティングと模擬ハッキングのためのガイドも発売される。 DSaaSサービスでは産業安全サービス、電力・エネルギー・ビル設備管理サービスなどを提供する予定である。

▲ウェブカメラのハッキング事例としてIncecamサイトが紹介された。

▲イ・ジェウEQSTグループ長

Copyright ⓒ Acrofan All Right Reserved