中小企業のセキュリティー対策 Vol.4 初期設定変更で感染防止

ログイン情報が初期設定のままのIoT機器は狙われる対象に

昨今、IoT(Internet of Things)が多くの注目を集めている。IoTとは、「モノのインターネット」と訳されるが、さまざまなシステムや機器がインターネットにつながることで、これまでになかったサービスが創出されると期待されている。一方で、IoTが普及すればするほど大きな問題となってくるのがサイバーセキュリティーの問題である。

ネットワークカメラも標的に

昨年10月、米国企業が大規模なDDoS攻撃(Distributed Denial of Serviceネットワークに接続する複数のコンピューターが特定のコンピューターに対して一斉に大量の通信を行うことで、サービスや機能を停止させようとする攻撃)を受ける被害が発生した。報道によれば、「Mirai(ミライ)」というマルウエア(ウイルスなど悪意のあるソフトウェア)に感染した、ネットワークカメラやルーターなどのIoT機器で構築されたボットネット(外部からの命令で一斉にDDoS攻撃を仕掛けるなど、遠隔操作が可能なマルウエアに感染した機器群)による攻撃であったとみられている。

IoT機器の中には、その機器の利用時に必要となるユーザ名とパスワード(ログイン情報)として、〝root〟や〝password〟といった汎用的な単語を初期設定としている製品がある。「Mirai」は感染したIoT機器を踏み台にして感染拡大を図る際、このような初期設定に利用されるログイン情報で他のIoT機器に侵入を試みる。

そのため、利用しているIoT機器のログイン情報が初期設定のままであると「Mirai」の侵入を許し、感染する。つまり、「Mirai」に感染したIoT機器による大規模なDDoS攻撃を引き起こした背景として、多くのIoT機器でログイン情報が初期設定のまま利用されていたと推察される。 また、海外のウェブサイト上に、ネットワークカメラの映像が公開されていることが判明し、騒ぎとなる事案もあった。

メーカーは利用者に配慮を

いずれの事案においても「IoT機器のログイン情報が初期設定のまま」であったことが主因と考えられる。マルウエアの感染被害を防ぐ、および情報漏えい(カメラ映像の意図せぬ公開など)を防ぐためにも、ネットワークカメラやルーターなどのIoT機器を利用する際には、必ず初期設定を変更することを推奨する。

なお、設定を変更する際にはパスワードは安易なものは避け、可能な限り長く、複雑な設定にし、またパスワードを使い回さないことが重要である。こうしたパスワードの初期設定に関する方法は、例えば大手メーカーもネットワークカメラの推奨設定をウェブで公開するなどの取り組みを行っているので、利用者は確認していただきたい。

一方、IoT機器のログイン情報が初期設定のまま利用されることのないよう、IoT機器のセットアップの過程でパスワードの変更を促すなど、IoT機器の開発、製造に携わる提供者による自助努力も望まれる。このようにIoT機器は今や、使いやすさだけでなく、利用者にとってのセキュリティー対策のしやすさといった配慮も求められている。独立行政法人情報処理推進機構(IPA)ではこのような被害を防ぐため適切なセキュリティー対策が施されたIoT機器が供給されるよう、提供企業向けにデジタルテレビ、ヘルスケア機器、スマートハウスなどのIoT機器のセキュリティー設計について解説した「IoT開発におけるセキュリティ設計の手引き「https://www.ipa.go.jp/security/iot/iotguide.html」を公開している。IoT機器の提供企業はぜひご一読いただきたい。

(独立行政法人情報処理推進機構・江島将和)

この記事をシェアする Twitter でツイート Facebook でシェア

次の記事

中小企業のセキュリティー対策 Vol.5 長期休暇は危険が増大

独立行政法人情報処理推進機構・江島将和

長期休暇の時期は、システム管理者が不在になることも多く、ウイルス感染や不正アクセスなどの被害が発生した場合の対処が遅れてしまい、自組織の...

前の記事

中小企業のセキュリティー対策 vol.3 ランサムウエアに注意

独立行政法人情報処理推進機構・江島将和

今年の5月12日から世界規模のサイバー攻撃が発生し、その被害が相次いでいる。今回の攻撃に使われているのは、ランサムウエアと呼ばれる不正プログ...

関連記事

中小企業のセキュリティー対策 vol.57 Emotet(エモテット)に再び警戒を

独立行政法人情報処理推進機構・江島将和

2021年11月14日頃から「Emotet(エモテット)」の攻撃活動再開の兆候が確認されたという情報がある。Emotetとは、情報の窃取に加え、さらにほかの...

中小企業のセキュリティー対策 vol.56 対策意識向上へ従業員教育を

独立行政法人情報処理推進機構・江島将和

金銭や個人情報などを狙ったサイバー攻撃は、技術的に巧妙化するだけでなく、人間の心理を巧みに突いてくるなど、より高度化・多様化している。事...

中小企業のセキュリティー対策 vol.55 URLリンクへの誘導に注意

独立行政法人情報処理推進機構・江島将和

独立行政法人情報処理推進機構(IPA)が開設する「情報セキュリティ安心相談窓口」には日々さまざまな相談が寄せられている。中でも「偽サイトや不...

月刊「石垣」

20221月号

特集1
老舗に学ぶ経営哲学 100年企業が守ってきた“わが家の商法”

特集2
新たな波が大きなチャンスになる!地域企業連携で新エネルギーに挑む

最新号を紙面で読める!

詳細を見る

会議所ニュース

月3回発行される新聞で、日商や全国各地の商工会議所の政策提言や事業活動が満載です。

最新号を紙面で読める!

詳細を見る

無料会員登録

簡単な登録で無料会員限定記事をすぐに読めるようになります。

無料会員登録をする