20250511_暗号化をしなくても良いらしい

415 Views

May 11, 25

#IoTセキュリティ #脆弱性 #平文通信 #IPA #高齢者

スライド概要

Okayama Revengers 第4回 LT大会「新しい春に、新しい発見! 新たなLT、一緒に咲かすんじゃ」
発表資料

profile-image
スライド一覧

広島

シェア

またはPlayer版

埋め込む »CMSなどでJSが使えない場合

ダウンロード

関連スライド

slide-thumbnail

猫でも分かるUnreal Engineの学び方 - 超初心者向け編 - 2023 v1.0
ue4 ue5 ue-beginner
user-img エピック ゲームズ ジャパン 1.5M
slide-thumbnail

Unreal Engine5 Lumenの仕組みと肝心なところ
ue5 ue-rendering ue-lumen
user-img エピック ゲームズ ジャパン 1.3M
slide-thumbnail

最新の6.0で学ぶ!初めてのひとのためのSpring Security
java spring security
user-img tada 1M
slide-thumbnail

Meta XR SDK(V66-74)でQuestアプリを開発
spatial anchor unity quest pro shaperecognizeractivatestate oculus integration transformfeaturestateprovider building blocks transformrecognizeractivestate ovrsemanticclassification jointdeltaprovider ovrscenemanager jointvelocityactivestate オクルージョン sequenceactivestate scene manager ambisonic depth api metaxraudiosource playerlocomotor meta xr sdk quest3 ovrplayercontroller マルチモーダル meta haptics studio direct touch ui meta xr haptics sdk ovrspatialanchor ovrtrackedkeyboard hapticclipplayer fingerfeaturestateprovider hapticclip ワイドモーションモード wmm mruk mr utility kit voice sdk jointrotationactivestate meta horizon os ui set asw application spacewarp ovr metrics tool unityscene manager colocation discovery コロケーション mx ink passthrough camera api hand tracking microgestures webcamtexturemanager passthroughcamerautils cameraviewermanager hand pose selector recorder
user-img あうぜん 1M
slide-thumbnail

猫でも分かる UE5.0, 5.1 におけるアニメーションの新機能について【CEDEC+KYUSHU 2022】
ue5 cedec+kyushu ue-animation ue-optimize ue-bp ue-physics ue-sequencer
user-img エピック ゲームズ ジャパン 0.9M
slide-thumbnail

UE5レンダリングフロー総おさらい(2024) 基礎編![CEDEC+KYUSHU 2024]
ue5 unreal engine ue-rendering
user-img エピック ゲームズ ジャパン 0.9M
各ページのテキスト
1.

暗号化をしなくても良いらしい 広島市立大学 情報科学研究科 先端ネットワーク・セキュリティ研究グループ いけぺ〜(@ikepe_main) 2025/5/11

2.

自己紹介 名前 : 池上峻平 / いけぺ〜 所属 : 広島市立大学 情報科学研究科 先端ネットワーク・セキュリティG 学年 : 修士2年 専門 : セキュリティ (ネットワーク・サプライチェーン) 2025/5/11 2

3.

所属サークルのついて 名前:いちぴろ・エクスプローラ 部員数:35名(情報・芸術) 活動:勉強会 (1回/月) 定例会 (3回/月) LT会・ハッカソン (不定期) 2025/5/11 3

4.

きっかけ 卒論の研究(家庭向けIoT機器のペンテスト) スマートカメラやリモコンなど16機種を調査 2025/5/11 4

5.

脆弱性が見つかった機器 デジタルフォトフレーム 10.1 Inch (1280 * 800) ストレージ 32GB / TFカード対応 画面回転対応 スマホのアプリより画像を転送可能 評価:3.8/5 (346件) Amazon, https://amzn.asia/d /. 2025/5/11 , (2025/05/08) 5

6.

調査した結果 Android 4.4.2 (2013/10 リリース) 中身はAndroid タブレット 2025/5/11 6

7.

調査した結果 Wiresharkで画像転送時の通信をキャプチャ → Zipファイルを転送 画像がそのままZIP化 2025/5/11 7

8.

パケットキャプチャの画面 2025/5/11 8

9.

何が問題か 平文で通信しているので,第三者が通信を傍受し,復元可能 →セキュリティ3要素の機密性が確保されていない 機密性 2025/5/11 完全性 可用性 9

10.

IPAへ報告 2024年5月30日 脆弱性関連情報の届出受付 >ウェブアプリケーション/ソフトウェア製品の届出 2025/5/11 10

11.

IPAからの返信 催促メールをして2024年11月26日 IPA「IPAが定義する脆弱性には合致しない」 暗号化されていない ≠ IPAの定義する脆弱性ではない 開発者が意図的に平文で送っているのであれば問題ない IPAは “暗号化は不要” って言っているってコト?!?! 2025/5/11 11

12.

個人の所感 ⚫ 平文で通信することが問題ないとは思えない ⚫ ターゲットが(おそらく)遠隔地に住む高齢者 →各自でVPNを利用するなどの対策は取れない ⚫ IoT機器はまだまだ課題が多いと実感 皆さんはどう考えられますか? 2025/5/11 12