開発
IoTとCTFの関係
beko
こんにちは。今回はCTF競技というものとIoTの関係性についてまとめてみました。
Microsoftより、Windows 10が出ましたが、これは既存のパソコンのOSでもあり、raspeberyy pi 2などで動くIoT開発を進めるためのものでもあり、勢いが止まることのない、IoT分野ですが、やはり、脆弱性というのはつきものです。
以前に、IoT端末の脆弱性とう記事でも言っている通り、数多くの脆弱性が存在しています。最近でも、Defcon 23にてSamsung より発売されている、RF28HMELBSRというスマート冷蔵庫に脆弱性が存在することが判明しています。この冷蔵庫には全面にLCDのモニタがついており、インターネットを利用し、Web検索することや、電話をかけること、Googleカレンダーの予定などを表示するなどスマートフォンと同様のことができる冷蔵庫です。
今回発見された脆弱性では、SSL接続を使って行っている通信に対して、中間者攻撃が可能という点です。これによって、自分のWebの検索結果や、Googleカレンダーの情報やアカウント情報を盗むことができてしまいます。
せっかく、スマート冷蔵庫を導入し、便利になったとしても、このような脆弱性があっては、心配で使うことができなくなってしまい、せっかくの技術がかわいそうです。しかし私はこのようなIoTの脆弱性も、既存の脆弱性のものと変わらないものと考えています。そこで、IoT開発をする際に、CTFをやっていれば、既存の脆弱性が使われているかどうかの判断が、やっていない人よりは、うまくできる、コードを書くときにもより気をつけて書くことができると思います。また、今後のCTFの問題にIoT要素が入っている問題も出てくると思います。例えば、フラグ形式において特定のファイルを読んで、フラグを入手するのではなく、遠隔から閲覧できる監視カメラのようなシステム内に脆弱性を作成しておき、カメラの先にフラグを写しておくことで、カメラへのアクセス権を奪うことで、フラグを入手するような問題ができます。一見関係なさそうなIoTとCTFですが、このように考えるととても重要なところで関係していると考えられます。なので、どちらかひとつを学ぶというよりは、お互いに考えながら、勉強、研究をしていくことで、今後たくさん出てくると予想されるIoT機器のセキュリティが格段に上がっていくと思います。今回は、IoTとCTFの関係の話しでしたが、CTFをやる上で他の事柄と結びつけるのは良いと思うので、ぜひ結びつけて、研究を進めていくと面白いかもしれません。