ログイン画面が改ざんされたIoTルーターをCenSysで検索してみた

福島第一原発の処理水放出に反対するハッカーグループが、セイコーソリューションズが発売する「SkyBridge」と「SkySpider」というIoTルーターのログイン画面を書き換えるという事件が起こっています。

「CenSys」というサービスを使って、ログイン画面が改ざんされたIoTルーターを検索してみます。

CenSysは、インターネットに接続された機器を検索できるサーチエンジンです。
CenSysは全機能を無料利用できます。アカウント未登録時は利用制限がありますが、解除するにはアカウント登録をすればよく、アカウント登録も無料です。

同様のサービスにはSHODANがあります。
SHODANは一部機能は無料ですが、制限以上のことをするにはアカウント登録と有料のメンバーシップ登録が必要です。

今回の福島第一原発の処理水放出に反対するハッカーグループが、セイコーソリューションズが発売する「SkyBridge」と「SkySpider」というIoTルーターのログイン画面を書き換えるという事件についてはすでにネットニュースなどで報道されています。

書き換えられたログイン画面の画像です。※絵文字が文字化けしてます。

IoTルーターのファームウェアの脆弱性が悪用されたようです。この脆弱性については、修正されたファームウェアが既に出ているようです。
また、必要がなければログイン画面はインターネットに公開しない方が良いと思います。

まず、どうにかしてログイン画面が改ざんされたIoTルーターの特徴を見つけます。
今回は、改ざんされるとログイン画面のタイトルが特定の文字列となることがわかりました。

HTMLのページタイトルに特定の文字列が含まれるサイトは「services.http.response.html_title: "検索文字列"」で検索可能です。
検索オプションは、「Search 2.0 Example Host Queries」を参照しました。

09/04(月)午前の時点で「1217台」の端末がみつかりました。
2～3日前は「1450台程度」がヒットしていたため、改ざんされたIoTルーターは少しずつ対処されているようです。

たれながし.info