Black Hat Asia:ますます難しくなるセキュリティの選択

Troy Hunt at Black Hat Asia: ‘We’re making it very difficult for people to make good security decisions’

2021/05/07 DailySwig — 想像してほしいのは、子供に持たせたスマート・ウォッチの位置情報が、テニスの練習場から海の真ん中に、突然切り替わったときの親の恐怖である。これは、英国の情報セキュリティ企業 Pen Test Partners の Ken Munro が、Have I Been Pwned の作成者である Troy Hunt と、彼の娘の協力を得てシミュレーションしたシナリオだ。

具体的に言うと、IoT デバイスに存在する IDOR (Insecure Direct Object Reference) の脆弱性を利用したものである。5月6日に開催された Black Hat Asia 2021 の基調講演で Hunt が語った、endless flow of data の背後にある、粗悪なセキュリティがもたらす最悪のケースの一つである。また、Munro の同僚である Vangelis Stykas は、子供用腕時計 TicTocTrack における API の欠陥を突いて、他ユーザーのアカウントに侵入し、着用者の操作を一切必要とせずに、そのデバイスを介した音声通話を行ってみせた。

DailySwig によると Hunt は、デジタル・セキュリティというテーマを無意味にしてしまう、純粋に物理的な侵入の例も挙げたそうです。人気 YouTuber の LockPickingLawyer は、$47.99 の指紋認証の南京錠を簡単に分解して、まったく役に立たないことを証明しています。そして、そのことを業者に知らせたところ、「ドライバーを持っていない人には無敵だ」と言われたそうです。昔からある、ズッシリとした金属製の南京錠は、簡単に分解できない強度と工夫の上に成り立っているわけですが、それを無視する指紋認証の南京錠など意味がないという話です。でも、デジタルの世界には、そのレベルのまがい物がゴロゴロしているという戒めなのでしょう。

%d bloggers like this: