20250511_暗号化をしなくても良いらしい

401 Views

May 11, 25

スライド概要

Okayama Revengers 第4回 LT大会「新しい春に、新しい発見! 新たなLT、一緒に咲かすんじゃ」
発表資料

シェア

またはPlayer版

埋め込む »CMSなどでJSが使えない場合

ダウンロード

関連スライド

各ページのテキスト
1.

暗号化をしなくても良いらしい 広島市立大学 情報科学研究科 先端ネットワーク・セキュリティ研究グループ いけぺ〜(@ikepe_main) 2025/5/11

2.

自己紹介 名前 : 池上峻平 / いけぺ〜 所属 : 広島市立大学 情報科学研究科 先端ネットワーク・セキュリティG 学年 : 修士2年 専門 : セキュリティ (ネットワーク・サプライチェーン) 2025/5/11 2

3.

所属サークルのついて 名前:いちぴろ・エクスプローラ 部員数:35名(情報・芸術) 活動:勉強会 (1回/月) 定例会 (3回/月) LT会・ハッカソン (不定期) 2025/5/11 3

4.

きっかけ 卒論の研究(家庭向けIoT機器のペンテスト) スマートカメラやリモコンなど16機種を調査 2025/5/11 4

5.

脆弱性が見つかった機器 デジタルフォトフレーム 10.1 Inch (1280 * 800) ストレージ 32GB / TFカード対応 画面回転対応 スマホのアプリより画像を転送可能 評価:3.8/5 (346件) Amazon, https://amzn.asia/d /. 2025/5/11 , (2025/05/08) 5

6.

調査した結果 Android 4.4.2 (2013/10 リリース) 中身はAndroid タブレット 2025/5/11 6

7.

調査した結果 Wiresharkで画像転送時の通信をキャプチャ → Zipファイルを転送 画像がそのままZIP化 2025/5/11 7

8.

パケットキャプチャの画面 2025/5/11 8

9.

何が問題か 平文で通信しているので,第三者が通信を傍受し,復元可能 →セキュリティ3要素の機密性が確保されていない 機密性 2025/5/11 完全性 可用性 9

10.

IPAへ報告 2024年5月30日 脆弱性関連情報の届出受付 >ウェブアプリケーション/ソフトウェア製品の届出 2025/5/11 10

11.

IPAからの返信 催促メールをして2024年11月26日 IPA「IPAが定義する脆弱性には合致しない」 暗号化されていない ≠ IPAの定義する脆弱性ではない 開発者が意図的に平文で送っているのであれば問題ない IPAは “暗号化は不要” って言っているってコト?!?! 2025/5/11 11

12.

個人の所感 ⚫ 平文で通信することが問題ないとは思えない ⚫ ターゲットが(おそらく)遠隔地に住む高齢者 →各自でVPNを利用するなどの対策は取れない ⚫ IoT機器はまだまだ課題が多いと実感 皆さんはどう考えられますか? 2025/5/11 12