By Bonnie Natko

「Stackoverflowin」と名乗る10代のハッカーがプリンターのハッキングツールを作成し、わずか数時間で15万台のプリンターにアスキーアートを印刷させるという騒動を起こしました。IT系メディア・Motherboardは匿名メッセージアプリ「Ricochet」を通じてこのハッカーに連絡をとり、ハッキングを行った経緯や近年のIoT機器のセキュリティなどについて話を聞いています。

This Teen Hacked 150,000 Printers to Show How the Internet of Things Is Shit - Motherboard

https://motherboard.vice.com/en_us/article/this-teen-hacked-150000-printers-to-show-how-the-internet-of-things-is-shit

Motherboard:

あなたはハッキングを行った理由について、セキュリティの欠陥について注意喚起するためだったと話していますね。どのようにしてハッキングを行ったのか、また、エンドユーザーはどのようにして自分自身を守ることができると思いますか?

Stackoverflowin:

私はLPD(515)、IPPプロトコル(ポート631)、ポート9100を通じてプリンターに印刷ジョブを送信しました。これに加えて、ゼロックスのウェブコントロールに使用可能な「RCE」(ハッカーがターゲットのコンピューター上でリモートで任意のコードを実行できる脆弱性)も使いました。私はPostScriptを使って好きな印刷ジョブを作ることができました。

正直に言って、人々は必要な時以外はプリンターをパブリックインターネットから切断する必要があります。そしてもしインターネットが必要なら、IPs/IPサブネットをホワイトリスト化する(特定のIPアドレスを承認してほかをすべてブロックする)か、VPNを通じてローカルネットワークにアクセスするべきです。





Motherboard:

そしてあなたはプリンターへの送信リクエストを自動化したんですね?

Stackoverflowin:

そうです。私はC言語で簡単なプログラムを書きました。

Motherboard:

印刷された紙には、実際にはそうではなかったものの「あなたのプリンターはボットネットの一部です」と書いてありました。なぜこのようなメッセージにしたのですか?



Stackoverflowin:

最初に頭に浮かんだ内容で、人々のIoTセキュリティの関心を高めるには適切だと思いました。

Motherboard:

印刷された紙には「プーチン大統領がBTI(break the internet)の複雑なインフラを使っている」ともありましたが?

Stackoverflowin:

「BTI」とは私の友人が何人かでやっていたグループのことで、主にセキュリティ研究家をひねったジョークを書いていました。そこから影響を受けて気まぐれで書いたもので、読んだ人は単純に「おそロシア(笑)」と考えるでしょう。





Motherboard:

なぜターゲットはプリンターだったのでしょうか?ルール大学ボーフムが公開したばかりのプリンターの脆弱性を指摘する論文を読んだのか、別に関心を引く何かがあったのか、もしくは単にあなたがIoTの問題に興味があったからですか?

Stackoverflowin:

まさにその通りで、数カ月前にプリンターについて調べていたことがあって、いくつか記事も読みました。実際のところ、2015年ごろからIoT界隈の混乱をきれいにできないか考えていて、主要な指紋認証を狙ったIoTボットに不正アクセスもしていましたよ。

IoTマルウェア「Mirai」が出た時は、興味深いことに誰も問題が起きたことに気付いていなかったんです。脅威情報が出回ったころにはみんな感染した後でしたが、多くの人がIoTセキュリティに対して少しは関心を持つようになったので、結果的には良かったと思います。ただしMiraiがターゲットにしたIoT機器では、人々がIoTについて考える時に有効な警告になっていたかわかりません。プリンターやDVDを狙う方が、よりIoTセキュリティの問題について考えるようになると思ったのです。

50万台のIoTデバイスを乗っ取ったDDoS攻撃「Mirai」の引き金になったダメすぎるパスワード60個 - GIGAZINE



Motherboard:

なるほど。スマート冷蔵庫を狙ったらミルクが腐ってしまうかもしれないですよね。

Stackoverflowin:

そういう胸クソの悪い事態が起きる可能性は十分にあります。攻撃に選ばれるデバイスはほとんどが中国の開発メーカーで作られています。これは人種差別でも何でもないんですが、彼らのコードは衝撃的で、IoTデバイスに複数のバックドアが設けられているのです。

Motherboard:

ハッキング当日のことを教えてください。私はこんな場面を想像しています。それは土曜日で、あなたは机に寄りかかりながら、退屈そうにコーヒーを飲んでいます。そんな時にハッキングを決断したのですか?

Stackoverflowin:

正直に言って、事がこんなに大きくなるとは思っていなかったんです。15万8000台のプリンターをハッキングしたと知った時はぼうぜんとしていましたよ。あなたの言うとおり、土曜日に座ってヤング・リーンを聴きながら、砂糖を2つ入れてコーヒーを飲んでいました。たしか当日はLinuxカーネルのプログラミングスキルを磨くためにサンドボックスを飽きるまでいじっていたと思います。

Motherboard:

あなたは印刷された紙に「マイケル・ジェンシュ」という名前を書いていて、紙に書かれていたTwitterアカウントでは「23歳のドイツの研究者」と名乗っています。でも、別のメディアではイギリス人の高校生だと話していますが?

Stackoverflowin:

紙に書いた名前は時々やりとりしている友人のことです。私はイギリス出身の高校生で間違いありません。コンピューターサイエンスで自分の未来をめちゃくちゃにしてしまった、怒れる高校生です。

Motherboard:

誰もあなたのことを知っている人がいないので、私はあなたの言うことを疑うしかありません。

Stackoverflowin:

いえいえ。私は学校で思っていたような成績を得られないただの高校生です。多分これからもこういうことをやって生きていくと思いますよ。

Motherboard:

あなたが望む成績を得られない原因は何だと思っていますか?また、この騒ぎを教師が知ったらどうなりますか?

Stackoverflowin:

プログラミングに取りつかれているからでしょう。1日に14時間もコードを書いていたら、成績もダメになりますよ。ただ問題があって、私がプログラミングスキルを持っていることは誰も知りません。

Motherboard:

あなたの将来の理想の職業は何ですか?

Stackoverflowin:

できれば独立して働くか、何かスタートアップをやりたいと思っています。システムエンジニアとかセキュリティコンサルタントのような、ソフトウェア開発やセキュリティに携わるものが理想です。

Motherboard:

大学に進学すれば夢はかなうと思いますか?

Stackoverflowin:

必要な成績がとれていないから、行きたくない学科に進む以外に方法がありません。それは一応大学ではあるけど、やりたいことからはかけ離れています。私の年齢でプログラミングのようなスキルを学べる場所があれば良かったと思っています。フランスには「42.fr」とか「Epitech International」があるけど、イギリスには何もありません。

学費無料で教師不在、生徒同士で教え合うことで考える力を育てる学校「42」 - GIGAZINE



Motherboard:

イギリスにはコンピューターサイエンスのプログラムがないのですか?

Stackoverflowin:

ないというか、あったとしてもひどいものです。例えば、高校ではたまに「コンピューターサイエンス」と名の付く授業がありますが、誰一人プログラムを書けるようにならないし、そもそもみんなやる気がありません。基本的に「本の内容をどれだけ早くコピーできるか」というだけで、ハッカソン、カンファレンス、キャプチャー・ザ・フラッグのような類いの活動は学校では行われません。

Motherboard:

よく分かりました。好奇心と挑戦したい気持ちがあるのに誰ともわかり合えないという経験は、ハッカーの間では珍しいことではありません。まずはあなたが頭の中で考えていることを始めてみてはどうですか?

Stackoverflowin:

ほかの人のことはわかりません。誰も興味がないからプログラミングの話を友だちとすることもありません。教師にコンピューティングのことを話したこともありましたが、友だちと同じ反応でした。

Motherboard:

例えば?

Stackoverflowin:

学校で責任を持って脆弱性を報告しましたが、相手にされませんでした。生徒のプライベートな情報が入ったシステムがどのように暴露可能で危険なのかを話して見せたのですが、教師には「嫌がらせはしないように」と注意されました。これはただの一例ですが、こんなことばっかりです。

Motherboard:

もし今回のようにあなたの好奇心を満たす方法が見つかれば、あなたはもう一度プリンターに不正リクエストを送ると思いますか?

Stackoverflowin:

いいえ、もうやる気はありませんが、やった方がいいかもわかりません。人間性の問題になるので、これが最後になると思っています。違法なやり方でしたが、注目を集められることがわかったので、今後はこのことを念頭に置いて成長していきたいと思います。ほかの高校生ハッカーに対しても、同じ考えを持つ人と集まった方がいいということを伝えたいです。それがニッチな考えでも、同種の人間が集まることは最良の成長方法です。ただし思い上がらないよう気をつけて下さい。簡単にできることですが、一部の人々のヘイトを集めます。そして、いい結果は絶対出ないので、くだらないことはしないでください。くだらないことというのは、必要ないのに機器をインターネットにつなげっぱなしにすることも含まれます。