今更ですが当時参加したことを思い出しながら投稿します
CVE10.0?CVE-2021-38759のリスクの探求
本記事は、PentestSecJPでのしまむー(@white_cat_sh)さんによる発表内容をもとに、参加時のメモと記憶をもとに再構成したものです。
資料は一般公開されておらず、内容には不正確または不完全な部分が含まれている可能性があります。
🔍 Raspberry Pi OS × MQTT の実践的な攻撃例
発表では、Raspberry Pi OSで運用されているIoTデバイスに対する実践的な攻撃調査について語られていました。
想定環境
- OS:Raspberry Pi OS
- 通信:MQTTプロトコルを使用
- 初期状態では
piアカウントがデフォルトパスワードのまま有効
🕵️♂️ 平文通信からの情報漏洩
MQTT通信は暗号化されておらず、Wiresharkなどでキャプチャするとユーザー名・パスワードが平文で取得可能。
Username: pi
Password: raspberry
これにより、IoT機器への不正接続が簡単に成立する可能性があるとされていました。
📦 ファームウェア解析からのパスワード抽出
- 対象機器のファームウェアがダウンロード可能な状態にあった
- ファームウェア内にハードコーディングされたパスワードが含まれていた
🧪 怪しいプロセスをKillして観察する手法
- IoTデバイスの動作を分析する際、「怪しそうなプロセスを kill して挙動の変化を確認する」という実践的な手法も紹介されていました
- 推測と観察のサイクルが脆弱性調査の基本であると強調されていました
✍️ まとめ
しまむーさんの発表は、シンプルな環境でもセキュリティの盲点は多く存在することを示す実践的な内容でした。
得られた教訓:
- IoT機器の初期パスワードは必ず変更すべき
- MQTTのような平文通信にはTLSの導入が不可欠
- ファームウェアの解析やプロセス観察は、小規模デバイスでも有効な調査手段
⚠️ 注意
- 本記事の内容は、登壇資料が未公開のため、不正確または一部誤解が含まれている可能性があります
- 実際の脆弱性詳細については、CVE-2021-38759 の公開情報やしまむーさんの今後の発信をご確認ください
🐾 あとがき
IoT機器のように物理的に小さく、設計が簡素なものほど、セキュリティの見落としが重大なインシデントに繋がりやすいものです。
しまむーさんの発表は、「誰でもダウンロードできるファームウェア」や「未設定の初期アカウント」といった、“ありがちな落とし穴”を狙うリアルな攻撃方法を改めて考える良いきっかけとなりました。