Upgrade to Pro — share decks privately, control downloads, hide ads and more …

よくあるバックドアの話(公開版)

Avatar for NV NV
April 28, 2018
Technology
2
540

 よくあるバックドアの話(公開版)

@IoTSecJP東京 #3

Avatar for NV

NV

April 28, 2018
Tweet

More Decks by NV

See All by NV
ゲームのボツデータを見てみよう
Avatar for NV nvsofts
1
520
eMMCの話
Avatar for NV nvsofts
2
2.3k
%sの話
Avatar for NV nvsofts
1
1.4k
DOOMに関するあれこれ
Avatar for NV nvsofts
0
490
IoTハックに使える買って良かったと思うもの
Avatar for NV nvsofts
0
2.2k
BLEな()おもちゃを調べてみる
Avatar for NV nvsofts
3
1.3k

Other Decks in Technology

See All in Technology
How Fast Is Fast Enough? [PerfNow 2025]
Avatar for Tammy Everts tammyeverts
2
160
書籍『実践 Apache Iceberg』の歩き方
Avatar for Satoru Ishikawa ishikawa_satoru
0
290
SOTA競争から人間を超える画像認識へ
Avatar for Yosuke Shinya shinya7y
0
630
設計に疎いエンジニアでも始めやすいアーキテクチャドキュメント
Avatar for Tomonori Hayashi phaya72
2
290
251029 JAWS-UG AI/ML 退屈なことはQDevにやらせよう
Avatar for Kenshiro Ota otakensh
0
100
AIがコードを書いてくれるなら、新米エンジニアは何をする? / komekaigi2025
Avatar for Yukiya Nakagawa nkzn
13
7.4k
オブザーバビリティと育てた ID管理・認証認可基盤の歩み / The Journey of an ID Management, Authentication, and Authorization Platform Nurtured with Observability
Avatar for 株式会社カミナシ kaminashi
2
1.3k
東京大学「Agile-X」のFPGA AIデザインハッカソンを制したソニーのAI最適化
Avatar for ソニー株式会社 sony
0
170
AWS re:Invent 2025事前勉強会資料 / AWS re:Invent 2025 pre study meetup
Avatar for Masanori Yamaguchi kinunori
0
830
Amazon Athena で JSON・Parquet・Iceberg のデータを検索し、性能を比較してみた
Avatar for ShigeruOda shigeruoda
1
240
様々なファイルシステム
Avatar for Satoru Takeuchi sat
PRO
0
270
戦えるAIエージェントの作り方
Avatar for Takuya Akiba iwiwi
10
5.1k

Featured

See All Featured
Music & Morning Musume
Avatar for Bryan Veloso bryan
46
6.9k
Building Better People: How to give real-time feedback that sticks.
Avatar for Will Jessup wjessup
370
20k
How Fast Is Fast Enough? [PerfNow 2025]
Avatar for Tammy Everts tammyeverts
2
160
ReactJS: Keep Simple. Everything can be a component!
Avatar for Pedro Nauck pedronauck
666
130k
Testing 201, or: Great Expectations
Avatar for Joseph Mastey jmmastey
45
7.7k
Evolution of real-time – Irina Nazarova, EuRuKo, 2024
Avatar for Irina Nazarova irinanazarova
9
1k
Optimizing for Happiness
Avatar for Tom Preston-Werner mojombo
379
70k
Stop Working from a Prison Cell
Avatar for Chris Michel hatefulcrawdad
272
21k
Why You Should Never Use an ORM
Avatar for John Nunemaker jnunemaker
PRO
59
9.6k
Side Projects
Avatar for Sacha Greif sachag
455
43k
Statistics for Hackers
Avatar for Jake VanderPlas jakevdp
799
220k
RailsConf & Balkan Ruby 2019: The Past, Present, and Future of Rails at GitHub
Avatar for Eileen M. Uchitelle eileencodes
140
34k

Transcript

  1. よくあるバックドアの話 NV(@nvsofts)

  2. 自己紹介 名前:NV ◦ Twitter: @nvsofts 個人サークル「えぬえす工房」代表 ◦ https://www.ns-koubou.com/ ◦ 最近は市販機器をハックする同人誌を書いています

    普段は都内にあるセキュリティ会社でIoTセキュリティなど をやっています

  3. バックドアとは? 英和辞典で引いてみると・・・? backdoor [báck・dòor] 形容詞 1. 裏口の. 2. 秘密(手段)の.

  4. バックドアとは? 要するに裏口のことだけど、情報セキュリティ的には

  5. バックドアとは? 要するに裏口のことだけど、情報セキュリティ的には 「クラッカーが再度の侵入を容易にするために作るもの」 と説明される(一般の人向けには)

  6. しかし 開発者が意図的にセキュリティに穴をあけることもある

  7. しかし 開発者が意図的にセキュリティに穴をあけることもある → これもバックドアと呼ばれる! 今回はこっちの話です

  8. 別にこれって 組み込み機器として見たら珍しいことではない

  9. 別にこれって 組み込み機器として見たら珍しいことではない ◦ そもそも脆弱なものという認識がない (作った当時はそれで許される雰囲気があった、etc)

  10. 別にこれって 組み込み機器として見たら珍しいことではない ◦ そもそも脆弱なものという認識がない (作った当時はそれで許される雰囲気があった、etc) ◦ 開発時に使っていたが、リリース時に消すのを忘れた

  11. 別にこれって 組み込み機器として見たら珍しいことではない ◦ そもそも脆弱なものという認識がない (作った当時はそれで許される雰囲気があった、etc) ◦ 開発時に使っていたが、リリース時に消すのを忘れた ◦ サービスマン用に残してある (意外と便利なんですよねぇ~これって

    って感じで)

  12. よくあるやつ 組み込み機器でよくあるのが以下のようなもの 1. USBデバイスやSDカードが接続される 2. 接続されたデバイス内のデータを調べる 3. 特定の情報が含まれていた場合、デバイス内に含まれ ているプログラムを実行する

  13. 組み込みLinuxで調べる デバイス管理を行っているudevやmdevの設定ファイルを 見ると良い ◦ /etc/udev/rules.d 以下のファイル ◦ /lib/udev/rules.d 以下のファイル ◦

    /etc/mdev.conf

  14. 組み込みLinuxで調べる サービス定義を調べるのも良い (起動時に一度だけチェックする場合もあるため) ◦ /etc/init.d 以下のファイル ◦ /etc/systemd/system 以下のファイル ◦

    /lib/systemd/system 以下のファイル など

  15. ポイント バックドアと言うだけあって、基本的にはセキュリティが低 下した方法になる 例えば、 ◦ ファームウェアの検証が行われない ◦ 外部からのデータを無条件に読んだり実行したりする ◦ 最悪、機器が死ぬ

    あたりは想定できる

  16. まとめ ◦ 開発者がバックドアを何らかの理由で設置する場合がある ◦ 製品のセキュリティを低下させる ◦ 組み込み開発者の気持ちになって考えよう