news

セキュリティセミナーに参加してきました

セキュリティセミナーに参加してきました

お疲れ様です、細谷です。

 

前回も少しふれましたが、トレンドマイクロ様のセキュリティセミナーに参加してきました。

そちらの発表の中で印象に残ったのが、「車のセキュリティ」というものです。

 

最近の車はナビ等、通信を行うことが当たり前になってきています。携帯とBluetoothで繋いで音楽を流したり、、、

ドライブレコーダーなどの走行記録などの流出されたくない情報を持つことも増えてきました。

要するに仕組みがパソコンと同じようになってきているという事です。

 

そんな中である企業が、新作の車の発表と仕様を公開し「ハッキングコンテスト」が行われました、

ハッキングに成功すれば報奨金、問題個所のソースの修正が行えれば更に追加の報奨金が支払われるという事で、多くのホワイトハッカーの方が参加したようです。

 

WIFIから等様々は方法でアクセスを試みた様ですが、それらはさすが新作の車、全て弾かれてしまい「セキュリティは完璧」となるかと思われましたが、

その中で「意外な方法」であっさりとハッキングに成功してしまったようです。

その方法とは、

 

「車の中から直接アクセスする」というものでした、

 

 

シガーライターってご存知でしょうか?、車についている「タバコの火をつけるアレ」ですね、

こちらは実は電源に繋がっているため、シガーライターの代わりの機器を取り付けることで、電源代わりに使うことができるのですが、

この装置とPCを繋ぐことで内部の端末にアクセスができてしまい。そこからハッキング、

「遠隔操作用の権限」を取得されてしまい、社内外のライトの点滅や、車自体の停止等様々な操作をされてしまったようです。

 

その他、ナビがUSBでつながっていたようで、ナビの代わりにPCをUSBでアクセスする等でも「権限の取得」が行われたりもしたようです。

 

つまり「外」の対策は完璧でも、「中」はからっきしだったようです。

外からの禁止も「権限が無い状態」だからできなかったわけで、一度取得されてしまえば外部からやり放題という状態になってしまいました。

 

車だけでなく他の例なども挙げられましたが。

最近の「セキュリティ」は「外部から」に集中しすぎてしまい。「内部から」の攻撃に対してはかなり対応が遅れてしまっているようです。

 

これはサービスにも言える事、ログインが必要なサービスでは、そういった傾向があるようです。

とくに「管理者向け」等の「ログインをすれば、重要なデータにアクセスできる」というシステムでは、頻繁にみられるようです。

 

「ログイン後に機密情報に」という事で、「ログインさせない」という方向は警戒しますが、

ログイン後は機密情報にアクセスできてしまうため、ログイン後のセキュリティというのはおざなりになりやすく。

権限を取得されてしまい、その後は好き放題というケースがあるようですので、

 

そうしたサービスを展開している企業の方は、一度「管理機能」のセキュリティを確認してみてはいかがでしょうか?

もしかしたら、「SQLインジェクション」クラスの簡単なクラッキングができてしまうかもしれませんよ、、

 

 

という事で、それでは本日はこの辺で、

今週は3連休、「敬老の日」という事で祖母を連れてどこかにドライブにでも行こうかと考えています。(弟が新作の車を買ったようで、運転は弟に任せ、私はお財布係の予定です。)

それでは皆様もよき休日を。