最も危険な検索エンジン!?「Shodan」が見せつける無防備なネット環境の実態

gi
「闇グーグル」とも呼べる検索エンジン「Shodan」を開発したジョン・マザリー氏は「グーグル検索で見つからないものは誰にも見つけられないと思われがちだが、それは真実ではない」と話します。

ウェブクロールにより情報収集するGoogleに対し、Shodanはサーバー、ウェブカメラ、プリンタ、ルーター等など、ネット接続された機器5億台あまりをクロール(巡回)して情報を収集します。そのため、あらゆる情報が集積され、ごく単純な検索でも表示される結果には息を飲みます。インターネットに接続された無数の信号機、防犯カメラ、ホームオートメーション機器などが簡単に見つかるほか、ガソリンスタンド、ホテルのワインクーラー、火葬場などの制御システムまで検索可能。

サイバーセキュリティーの専門家は、原子力発電所や粒子加速器の制御システムまで探し当てたというから驚きです。何よりも恐ろしいことに、こうした機器のほとんどにセキュリティー対策が施されていない実態をShodanは見せつけます。研究目的でShodan型のデータベースを運用する専門家のH・D・ムーア氏は、「ネットの約半分はデフォルトのパスでログインできる」と指摘。

computer-screen-hacking

実際、初期設定である「admin:1234」という「ユーザー名:パス」でログインできるシステムやアカウントなどが無数に見つかります。

2012年開かれたサイバーセキュリティーカンファレンスでは研究者が、1クリックでオンオフを切り替えられる洗車機や、氷を解かすことのできるデンマークのホッケーリンクなどを見つけたと発表。
某自治体の交通制御システムはコマンドを1つ入力するだけで「実験モード」に切り替えることができ、フランスの水力発電所の制御システムをも発見。セキュリティー研究者たちは、ハッキング・不正ログインされたシステムや無防備な機器を見つけると運営者に通報しているそう です。

この問題、一般ユーザーにあまりピンと来ないのかも知れませんが、分かりやすい例としては「スマーフォンの管理による玄関ロック」があります。ネット管理による施錠は将来期待されていますが実はこうした機器はネットを通してハックされることを想定できていません。

t-ts-shodan-hacking-devices-00031526-576x324
Shodanはマザリー氏が2010年頃完成させました。検索結果の表示は10件ですが、アカウント開設で50件まで表示可能。ユーザーはセキュリティー専門家や学術研究者、捜査当局などが中心で、フル機能を活用したければ使用目的などを明示して料金を払う必要があります。

開発者であるマザリー氏はShodanが犯罪目的で利用される可能性があることも認めたうえで、「普通、犯罪集団は独自のソフトやプログラムを使って犯罪を犯すので、Shodanを使うまでもないのが実態だ」と指摘しています。

source