写真: X線装置、農機具、発電機。防犯カメラ、Facebookにログインしたブラウザを搭載したデスクトップパソコン、在庫管理ソフト。販売レジ、家庭用警報装置…リストはまだまだ続きます。
これらすべてとそれ以上のことが、今週登場した VNC Roulette で紹介されています。VNC Roulette は、パブリック インターネット上で保護されていない状態で公開されている機密システムの種類を私たちに思い出させるために作られた Web サイトです。
VNCを使うと、ネットワーク経由でデスクトップを共有し、他のコンピュータのソフトウェアやファイルにアクセスできるようになります。外出先から自宅のPCや、サイトの反対側にある機器を確認したい場合に便利です。ただし、重要なのは、これらの接続はパスワードと暗号化によって保護する必要があることです。
そして何千台ものマシンはそうではありません。
過去に、セキュリティ研究者がインターネット上で脆弱な公開デスクトップをスキャンしている様子を取り上げました。Dan Tentler氏は、時折見つけた興味深いVNCセッションをツイートしています。検索エンジンShodanは、世界中のインターネット上で少なくとも55万件のVNCアクセスを提供していることを認識しています。ただし、それらのすべてが認証を使用して、無作為な侵入者を阻止するわけではありません。
VNC Rouletteは、安全でないリモートデスクトップのスクリーンショットを約550件取得しました。自宅のFacebookやメールの閲覧から産業システムの制御パネルまで、様々な情報が漏洩していることが明らかになりました。だからこそ、水処理施設がハッキングされ、水道水に添加される化学物質の配合が改ざんされたというニュースを読んだときも、それほど驚きはしませんでした。
スナップの中には2015年に遡るものもあれば、今月のものもあります。セッションの一部はシャットダウンされていますが、いくつかは依然として稼働しており、相変わらず安全ではないことが確認されています。
VNCルーレットは、今週のリリース直後にオフラインになった後、本日再び登場しました。以下に、私たちのお気に入りの例をいくつかご紹介します。他にもいくつかありますが、個人情報が含まれている可能性があり、公開するのは好ましくありません。
米国ネバダ州の施設にあるX線装置
アメリカ中西部の農機具の制御装置のようなもの
私たちの中国語は完璧ではありませんが、これは中国で誰かがファイルをトレントしているように見えます
店舗のCCTVシステム
大学講義室のコントロールパネル
VNCサーバーをパスワード必須に設定し、localhostからの接続のみを受け入れるようにすることをお勧めします。その後、リモートサーバーからSSH経由でデスクトップ接続をコンピューターにパイプすることで、転送中のデータを暗号化して保護し、安全な認証レイヤーを追加できます。
一方、Shodanによると、世界中で少なくとも340万台のWindowsリモートデスクトップ接続を提供しているマシンがあることが明らかになりました。これらのマシンも安全に保つことが重要です。®
