荷物の宅配は、私たちが最近当たり前と思っていることの1つにすぎません。これは、コロナウイルスの時代に特に当てはまります。電子商取引と在宅配送は、消費者の購買習慣のかなりの割合を占めています。
2019年、McAfee Advanced Threat Research(ATR)は、BoxLockと呼ばれる安全なホームパッケージ配信製品に関する脆弱性研究プロジェクトを実施しました。対応するブログはここにあり、デバイスで使用されているBluetooth Low Energy(BLE)構成で見つかった脆弱性を強調しています。最終的に、この欠陥により、AppleまたはGoogleストアの標準アプリでBluetooth範囲のBoxLockをロック解除できました。
このブログをリリースして間もなく、英国に拠点を置く同種の製品企業から、iParcelBoxと呼ばれる同社の製品に対する調査分析について、上述の調査を行った研究者であるSam Quinnに、連絡がありました。このデバイスは、外側にプッシュボタンが付いた安全な鋼製コンテナで構成されているため、パッケージの宅配業者はボタンを押すだけで配達用コンテナへのアクセスをリクエストでき、アプリを介して住宅所有者に通知し、リモートの開閉機能を利用できます。
目次
iParcelBoxを調査
研究者は、OSINT(オープンソースインテリジェンス)を用いて実施することにより、このプロジェクトに独自のスピンを加えることができました。これは、一般に公開され利用可能な情報を情報源に、機密情報等を収集する手法を指しますが、しばしば意図せずに公開されている一般に入手可能な情報が、デバイスやシステム、またはユーザーを危険にさらすことにつながります。今回のケースでは、製品の開発者はオンライン投稿のデータハイジーン(衛生管理)を実践していなかったため、研究者はこのかなり複雑なプロジェクトを劇的に短縮できました。その結果、管理資格情報と対応する内部設計および構成が発見され、チームが世界中のあらゆるiParcelBoxデバイスに効果的にアクセスできるようになりました。すべてのテストケースは、チームが所有するかiParcelBoxが承認したラボデバイスで実行されました。OSINTプロセスの詳細については、こちらのリサーチブログのフルテクニカルバージョンをご覧ください。システムの実際の内部は、セキュリティの観点から適切に設計されており、暗号化にSSLなどの概念を利用し、ハードウェアデバッグを無効にし、適切な認証チェックを実行します。残念ながら、このレベルの設計とセキュリティは、資格情報がオンラインで適切に保護されていないという単純な事実によってすべて損なわれていました。これらの資格情報を利用して、研究者は機密の証明書、キー、デバイスパスワード、およびWIFIパスワードをiParcelBoxから抽出できました。
さらに、研究者が今回使用したOSINT手法に関する記事を準備する中で、さらに発見がありました。クラウドベースのIOTフレームワーク(AWS-IOT)とのやり取りに使用される構成を分析したところ、管理パスワードがなくても、AndroidアプリがAWSデータベースにクエリを実行するために使用するプレーンテキストの一時的な認証情報が漏洩する可能性があることがわかりました。
これらの認証情報には権限の設定ミスがあり、研究者はiParcelBoxデバイスに関するすべての情報を照会し、プライマリオーナーになることができました。どちらの場合も、デバイスをターゲットにするには、攻撃者は被害者のiParcelBoxのMACアドレスを知っている必要があります。ただし、iParcelBox MACアドレスはランダムではなく生成されたように見え、アドレスの最後の1つのオクテットのみが変更されたため、簡単に推測できました。
McAfee ATRの通常の研究活動には、複雑なハードウェア分析、リバースエンジニアリング、エクスプロイト開発などが含まれます。開発者が構成とデータハイジーンに関して高レベルのミスを犯していましたが、同社が物理的セキュリティとデジタルセキュリティの両方に費やした努力の状態を認識するために、少し時間をかけたいと思いました。
iParcelBoxは、IOTデバイスでは一般的ではない数多くのセキュリティ概念を確実に実装しており、攻撃者のレベルを大幅に引き上げます。ハードウェアを再構築するか、ソフトウェアを再プログラムして、事後にセキュリティを強化するよりも、漏洩したパスワードや基本的な構成の問題などを修正する方がはるかに簡単です。これが、2020年3月に報告した直後に、同社が両方の問題を速やかに修正できた理由だと思われます。あらゆる規模の企業がセキュリティ調査コミュニティを利用し、開発サイクルの最初の段階から、製品を改善するために迅速に協力するようになるのはとても喜ばしいことだと感じています。
何をするべきか
消費者向け:
・安全で複雑なパスワード
開発者でさえ、私たち全員が抱えているのと同じ問題の影響を受けます。安全で複雑なパスワードを選択し、重要な資格情報を保護し、セキュリティハイジーンを実践し、デバイスの制御を実装するときに安全な構成を選択します。
・セキュリティに対する姿勢を確認
いつものように、セキュリティに対するベンダーのアプローチを検討することをお勧めします。彼らは自社製品の脆弱性研究を採用して奨励していますか、それとも何かが見つかった場合でもそのままにしていませんか?
・更新の頻度や速度に注意
彼らは修正を実装するのにどれくらい速く、正しく行われていますか?よく見ると、市場に出回っているほとんどすべての製品にセキュリティの欠陥があります。それらの扱い方は間違いなく欠陥そのものよりも重要です。
開発者およびベンダー向け:
・情報開示と改善
この事例は、コミュニティの力を証明する貴重なインセンティブを提供するはずです。セキュリティの研究者に働きかけて脆弱性の発見を受け入れることを恐れないでください。その発見がより重大であるほど、より意味あることなのです! McAfee ATRなどの責任ある開示を行う研究者または調査会社と協力してください。
・複雑な手順だけでなく単純なことにも注意
このプロジェクト中に見つかった重要なデータの意図しない漏洩などの単純なことを見落としがちです。セキュリティチェックリストには、製品が適切なセキュリティ管理を維持し、重要なデータが保護され、定期的に監査されるようにするための複雑な手順と単純な手順の両方を含める必要があります。
※本ページの内容は2020年6月18日(US時間)更新の以下のMcAfee Blogの内容です。
原文:What’s in the Box? Part II: Hacking the iParcelBox
著者:Steve Povolny and Sam Quinn