はじめに
この記事は、IoTのテストに関するネットの記事を読んでいく、「IoTテスト アドベントカレンダー」の13日目です。12日目はコチラ。
プロファイル
- タイトル: 『Testing for vulnerable IoT devices』
- 著者: Michael Horowitz
- 参照サイト: COMPUTERWORLD
ポイント
XiongMai Technologies製の多くのビデオレコーダーやカメラが脆弱性を突かれてクラックされ、ボットネットに参加させられてDDoS攻撃を行うという事件があった。telnetやSSHのパスワードはハードコードされており、変更ができない。
この記事では、自宅やオフィスののIoTデバイスが安全かどうか、Steve Gibson氏のShieldsUp!というサービスを利用した簡易チェックを紹介する。
telnet経由で不正なtelnet要求を受け付けないかを確認するには、以下をクリックする*1。
h ttps://www.grc.com/x/portprobe=23
画面遷移先で「Stealth」が出れば、telnetについては大丈夫。「Closed」もたぶん大丈夫だが、「Open」だとtelnetのポートが開いているということで、悪人からのコマンドを歓迎しているということになる。他のプロトコルについては、portprobeの値を変えればよい。
より徹底したテストは、わたしのページで行うことができる。
所感
今日の資料は打って変わって、簡単なポートセキュリティチェック、という内容です。ここでの「test」は、「ソフトウェアテスト」的なテストではなく、「確認」くらいの意味ですね。
Steve Gibsonさんは、Security Now!というやたら長時間のソフトウェアセキュリティ系Podcastをやっていて一時聴いていましたが、いつも入眠剤替わりでした・・・。
14日目はコチラです。(12月14日の0時に公開されます)