Dendroidに野良IoT

最近セキュリティ関連のサイトを眺めていて気になったワードを二つご紹介します:

 

1.Dendroid

 

 ワンタイムパスワード(OTP)を発生させるデバイスで、スマホアプリとカード・トークンの比較について述べる中で、スマホはウイルス等のセキュリティ問題があるという話をしてきましたが、Dendroidとは、まさしくスマホを乗っ取ってしまう攻撃ツールのひとつです。日経BPのITProセキュリティ(無料の会員制サイト)にこんな連載記事がありました。

 

「スマホが勝手にリモート操作される「Dendroid」が怖い」

 

スマホを乗っ取って悪用するための攻撃ツールキットがアンダーグラウンド市場で流通していて、遠隔操作用サーバーも必要なことから、Dendroid向けの有償サポートサービスまでアンダーグラウンドにあって、至れり尽くせりだそうです。オンラインバンキングアプリとそれ用のOTPアプリをスマホに同居させていると、気がついたら通帳残高がすっからかんということになりかねませんね。

 

 

2.野良IoT

 

 昨今IoT (Internet of Things)が注目されていて、JINCO Universal社で作っているRFID関連製品へのニーズも高まるのではないかと期待しているのですが、単純なRFIDチップではなく、ネットに繋がるコンピュータが内蔵されているネット家電やクルマ、家庭用のネットワーク機器の場合は、やはり個人情報が盗まれたり、機器が乗っ取られたり、悪用される危険性があります。ペットの犬猫のようにちゃんと管理されていればいいけれど、家電やクルマ、それに家庭内ネットワークで使われるネットワーク機器等は、ユーザーに管理者としての当事者意識も知識もなく、管理されずに野放しな野良犬、野良猫のような状況に陥ってしまっているのを指して、「野良IoT」と呼ばれるようになっています。

 確かにネットに繋がる家電製品と言っても、ユーザーにしてみれば、そんな機能滅多に使わないから関係ない、とか、それはメーカーが考えることだろう、と思うのが普通でしょう。家庭内LANのルーターにしても、ID/パスワードをデフォルトIDのroot、パスワード空白のまま使っている人がほとんどではないでしょうか。かくいう自分もその一人です。

 そんな「野良IoT」の危険性に言及した記事(pdf)をご参考までに、ふたつほどご紹介しておきます。

 

内閣サイバーセキュリティセンターのカンファレンス資料(NTTコムの方が発表)   P.9に「野良IoT」の記載

 

日本ネットワークセキュリティ協会の資料  P.11に「野良」の記載

 

 

◇ 社長のつぶやき ◇ 続きはこちら