【メモ】ソーラーリモコンZREM-35と一条工務店はどのような情報をやりとりをしてるのか?

こんばんは。さすけです。

本日の記事はマニアックなため、極々一部のマニアな方以外にはなんの興味もないと思われる内容です^^;;

ご存知のように、一条工務店のソーラーパネルの情報を見るソーラーリモコン(ZREM-35)はLANケーブルを接続することで、一条工務店のサーバに接続して、携帯電話やパソコンから自宅の発電状況を見たり、過去のデータをダウンロードしたりすることができます。

写真を撮り忘れたのでgamaさんのサイトから勝手に写真をお借りしましたm(_ _)m

今回考えたのは
・ リモコンをパソコンから制御できないか?
・ リモコンからデータを直接吸い出すことはできないか?
といったことです。

ね。ここまで見ただけでも大半の方は興味ないでしょ^^;;
でも、たぶん同じことを考える人はいると思うので、メモしておくことにします^^

ということで主な確認の内容は
1 一条工務店のサーバと我が家のリモコンがどのような内容の通信を行っているのか?
2 リモコンの基盤からなにかわからないか?
3 リモコンにパソコンから直接アクセスしてみる

といったことを行ないました。

1番の確認は、ソーラーリモコンと一条工務店のサーバの間でどのような通信が行なわれているのかについては、「パケットキャプチャ」と言う方法で、通信内容を傍受(とかいうと大げさですが)して、通信の内容を見てみることにしました。

1 一条工務店のサーバと我が家のリモコンがどのような内容の通信を行っているのか?
通信内容の確認方法は、パケットキャプチャソフトとしてWireSharkを使用して、我が家のソーラーリモコンと一条工務店のサーバが行なっている通信の内容をキャプチャすることにしました。

PCのネットワーク配線はざっくり下記のような感じにしました。


これで、一条工務店のサーバと我が家のリモコンが通信を行なった内容は私のPCにも届くため、通信内容を傍受することが可能になります^^

ソーラーリモコンと一条工務店のサーバを接続する再に、ず~っと昔に使用していたリピータハブを持ち出して、通信内容を覗くことにしました。10年位前まではスイッチングハブが普及していなかったので、通信は覗かれ放題でしたね^^;;

一条工務店のサーバとソーラーリモコンはいつ通信を行なっているかわからなかったので、24時間ほどキャプチャを続けました。

以下が解析画面です。

192.168.12.58は我が家のソーラーリモコンのIPアドレスです。
一条工務店と我が家のセキュリティーに関連する部分はモザイクをかけました。

わかったことは
(1) 一条工務店サーバのIPアドレスは203.129.114.68となっており、一条工務店夢発電システムのサイトと同じであること
(2) 通信はSSLによって暗号化されていて、内容を解析することはできないこと上図赤枠内
(3) 一条工務店サーバの名前がHRDSPteであること

などがざっくりとわかったないようです。

(1)の内容から、ソーラーリモコンが通信しているIP:203.129.114.68をWhoisで確かめると、一条工務店(日本産業)が運営するサーバ(http://solarmb.kk-nissan.co.jp/)と同一であることがわかりました。
で、(2)、これは考えてみればあたりまえなんですが、私の予想が外れてしまいました。。。というのは、通信は暗号化されており、通信の内容を見ることはできないことがわかりました。う~ん、、残念。

通信の手続きもClientHelloから入って、以降すべての情報に暗号化が施されていました。通信を解析することは難しそうです。
唯一、読み取ることができた通信は、通信終了を知らせる合図?に使われていた

yle=”text-align: center;”>

Solarという掛け声^^;だけでした。。。なぜここだけ暗号化されてなかったんでしょう^^?

ということで、万が一第三者が通信を傍受したとしてもその内容を知ることはできそうにありません。

(3)では、通信相手、すなわち一条工務店のサーバの名前です。

別にたいしたことではありませんが、通信相手はHRD S Pteすなわち、「HRDシンガポール」という企業名が付されていました。日本産業=HRDということでしょうかね?このあたりがいまいち良くわかりません^^謎に包まれた会社HRD状態です。これについてはまた後日書いてみようと思っていたりします^^

通信内容の解析は残念ながら暗号化の壁に阻まれて特段の成果を得ることができませんでした。

ということで、同じことを考える方がいらっしゃる場合は暗号化の壁を破る方法を考えてからされると良いかと思います^^

ここまでご覧になっている方(いますか^^?)がいた場合、不正アクセスに当たらないのか?そこまでやったら犯罪じゃないか?と思われる方もいると思うので一応お断りを。。。

不正アクセス防止法に定められた不正アクセスとは、第三者のPC等にパスワードをのっとったり、アクセス制御機能を迂回して制御をのっとってしまうことが不正アクセスに該当します。

なので、今回のように「自分の持ち物である」リモコンにどのようなアクセスをしようと不正アクセスにはなりません。もちろん、一条工務店のサーバに対して同じアクセスをするとちょっと問題があります。よって、私がこれから行なおうとする、リモコンに対する制御ののっとり行為は、持ち主がやる限りはまったく問題はないと思います^^

ただし、リモコンと一条工務店のサーバはつながっているわけで、リモコンをのっとって、そこから一条工務店のサーバをのっとったら、それはやっぱり不正アクセスですのでご注意を。。。

2 リモコンの基盤からなにかわからないか?
パケットキャプチャによって通信内容を見ましたが、残念ながら暗号化されていて、内容を閲覧することはできませんでした。これでは、リモコンから直接データを吸い上げることはできません。

で、SSLはいわゆる公開鍵暗号方式の暗号化ですから、もしかすると通信相手であるソーラーリモコンにも秘密鍵が格納されているかもしれません。通常であれば、サーバ側で管理していると思うので、その可能性は低いですが。。。

ただ、もし秘密鍵を吸いだすことができれば、その鍵を使って通信内容を閲覧することが可能になります。

ということで、リモコンを壁から取り外して裏ぶたを眺めてみると

こんな感じです。型名「ZREM-35」というリモコンの型番と製造番号が書かれています。

で、いまさらですが「販売元:一条工務店、日本産業」と書かれている点に気がつきました。。。
すなわち、「製造元」ではなく「販売元」となっている、よって、このリモコンは一条工務店が作った物ではなく、おそらくパワーコンディショナーの製造元と同じ田淵電機が作っているものと想像できます。

さっそく、検索してみると、田淵電機のカタログに全く同じ物を発見しました^^

ということで、このリモコンは一条工務店製ではなく、田淵電機製ということがわかりました。

で、裏ぶたをあけてみると・・・

こんな感じです。当然、私は配線の内容は分からないので、乗っているチップから想像するしかありません。。。。

大まかに気になったチップ類の型番を調べてみるとこんな感じです。

おそらく中央にある四角い物体がCPUになっていて、制御を司っていると思われます。

これまた非常に残念なことに、集積化されすぎていて外観からはほとんど何もわかりません。

唯一気になったポイントは

こいつの存在です!!そう、スイッチです!!

裏ぶたの外から針のようなもので押すスイッチになっています。

もうね。ものすごく押したくなるわけですよ。

ただ、写真をご覧になっていただいておわかりのように、パワコンと接続して電源も入った状態でフタを開けているのでスイッチを押した後の動作がどのようになるのか分からない環境では押せませんでした。。。コンジョウナシ!

だれか、このスイッチをおしたことあるよ!と言う方は何が起こるのか是非教えてください。
想像では初期化スイッチかな~とも思いますが^^;;

ということで、フタをとじて何事もなかったように元に戻しました^^;;

う~ん収穫が少ない。。。。

3 リモコンにパソコンから直接アクセスしてみる

最後の手段です!というか、普通は最初にやる手段ですが、思いついた順番がめちゃくちゃなので、最後に試すことになりました!!

リモコンは何らかの通信ポートを開けているはずです。ですから、この通信ポートを直接叩けば何か反応があるはずです。

とりあえず、Webサービスが起動されている可能性にかけて80番ポートを叩いてみます。反応ありません。。。

ということで、こういうときはTeraTermでアクセスしてみます^^

で、まずは基本のTelnetで接続をしてみます!

リモコンから返事がありました\(^o^)/

が、パスワードを入力しろと言ってきました。。。

とりあえず、思いつく限りのパスワードらしい物を入れてみましたが、ログインできませんでした。

主に試してみたのは、製造番号、基板上に意味ありげに張られていたシール記載されていた数値、通信先サーバ名(HRDSPTE)等々色々試してみましたが、ログインに失敗しました。

ランダムアクセスでパスワードを解除しようにも、ハードウェアに設定されたパスワードですからかなり複雑な可能性もあり、躊躇してしまいます。。。

ということで、これまた失敗です。。。

もうね。万策尽きました(早っ!)。

ということで、今回のリモコンハッキングは失敗に終わりました。

まとめ

今回、ソーラーリモコンにパソコンから直接接続する方法を検討してみましたが、残念ながらその方法を見つけることはできませんでした。

分かったこととしては、セキュリティー的に結構しっかりできていて容易にアクセス内容を解析したり、不正にリモコンが外部から制御されるようなことはないように設計されているということです。。。。

ただ、考えてみれば結構当たり前で、このリモコンが外部からクラックされると、結構しゃれにならなかったりします。例えば、自立運転と連携を外部から制御できてしまったら、夜間に攻撃を受けた場合、その家は停電になってしまいます。1軒だけであればたいした被害は出ませんが、一条工務店は年間1万棟の住宅を建てています。このリモコンに感染するウィルスなどを配布されてしまった場合、一条工務店、というか田淵電機のパワコンを使っている全ての家を一度に停電させることができてしまったりするのです。

また、さらに、これは完全に想像の域ですし、おそらくかなり様々な安全対策が取られているとは思いますが、このリモコンはパワコンに接続されています。パワコン内の安全装置のセンサーを無効にして、過負荷をかけるようなことが行われれば最悪火事にすることもできてしまうのです。。。そういう意味で、リモコンのLANポートのセキュリティは相当に高く設定しておかなければかなり危険な代物であるとも言えるのです。

ですから、簡単にアクセスできては困るわけです。

SFのような話しに思うかも知れませんが、そういう類いの人が本気になるとできてしまったりするものなので、十分な注意が必要とも言えます。ただし、現在では不正アクセス防止法に抵触するので、それをやった瞬間に犯罪です。

と色々と考えるとちょっと怖いですね。。。もちろん、そのようなことは十分に考えられていると思いますが、本当に大丈夫か気になってきました。。。。が、これ以上はやめておきます。。。

あと一応、一条工務店のサーバIPはグローバルにどこからでもアクセス可能なものになっていましたので、特に隠すことはしませんでした。Google検索でもひっかかるサイトですから問題ないかと思います^^

あんまり収穫もなく、とりあえず、色々試してみたのでご報告だけの内容になります^^

リモコンのセキュリティチェックと思っていただければと思います^^

広告