日商 Assist Biz

更新

中小企業のセキュリティー対策 Vol.4 初期設定変更で感染防止

ログイン情報が初期設定のままのIoT機器は狙われる対象に

昨今、IoT(Internet of Things)が多くの注目を集めている。IoTとは、「モノのインターネット」と訳されるが、さまざまなシステムや機器がインターネットにつながることで、これまでになかったサービスが創出されると期待されている。一方で、IoTが普及すればするほど大きな問題となってくるのがサイバーセキュリティーの問題である。

ネットワークカメラも標的に

昨年10月、米国企業が大規模なDDoS攻撃(Distributed Denial of Serviceネットワークに接続する複数のコンピューターが特定のコンピューターに対して一斉に大量の通信を行うことで、サービスや機能を停止させようとする攻撃)を受ける被害が発生した。報道によれば、「Mirai(ミライ)」というマルウエア(ウイルスなど悪意のあるソフトウェア)に感染した、ネットワークカメラやルーターなどのIoT機器で構築されたボットネット(外部からの命令で一斉にDDoS攻撃を仕掛けるなど、遠隔操作が可能なマルウエアに感染した機器群)による攻撃であったとみられている。

IoT機器の中には、その機器の利用時に必要となるユーザ名とパスワード(ログイン情報)として、〝root〟や〝password〟といった汎用的な単語を初期設定としている製品がある。「Mirai」は感染したIoT機器を踏み台にして感染拡大を図る際、このような初期設定に利用されるログイン情報で他のIoT機器に侵入を試みる。

そのため、利用しているIoT機器のログイン情報が初期設定のままであると「Mirai」の侵入を許し、感染する。つまり、「Mirai」に感染したIoT機器による大規模なDDoS攻撃を引き起こした背景として、多くのIoT機器でログイン情報が初期設定のまま利用されていたと推察される。 また、海外のウェブサイト上に、ネットワークカメラの映像が公開されていることが判明し、騒ぎとなる事案もあった。

メーカーは利用者に配慮を

いずれの事案においても「IoT機器のログイン情報が初期設定のまま」であったことが主因と考えられる。マルウエアの感染被害を防ぐ、および情報漏えい(カメラ映像の意図せぬ公開など)を防ぐためにも、ネットワークカメラやルーターなどのIoT機器を利用する際には、必ず初期設定を変更することを推奨する。

なお、設定を変更する際にはパスワードは安易なものは避け、可能な限り長く、複雑な設定にし、またパスワードを使い回さないことが重要である。こうしたパスワードの初期設定に関する方法は、例えば大手メーカーもネットワークカメラの推奨設定をウェブで公開するなどの取り組みを行っているので、利用者は確認していただきたい。

一方、IoT機器のログイン情報が初期設定のまま利用されることのないよう、IoT機器のセットアップの過程でパスワードの変更を促すなど、IoT機器の開発、製造に携わる提供者による自助努力も望まれる。このようにIoT機器は今や、使いやすさだけでなく、利用者にとってのセキュリティー対策のしやすさといった配慮も求められている。独立行政法人情報処理推進機構(IPA)ではこのような被害を防ぐため適切なセキュリティー対策が施されたIoT機器が供給されるよう、提供企業向けにデジタルテレビ、ヘルスケア機器、スマートハウスなどのIoT機器のセキュリティー設計について解説した「IoT開発におけるセキュリティ設計の手引き「https://www.ipa.go.jp/security/iot/iotguide.html」を公開している。IoT機器の提供企業はぜひご一読いただきたい。

(独立行政法人情報処理推進機構・江島将和)

次の記事

独立行政法人情報処理推進機構・江島将和

長期休暇の時期は、システム管理者が不在になることも多く、ウイルス感染や不正アクセスなどの被害が発生した場合の対処が遅れてしまい、自組織のシステム環境に大きな被害が及…

前の記事

独立行政法人情報処理推進機構・江島将和

今年の5月12日から世界規模のサイバー攻撃が発生し、その被害が相次いでいる。今回の攻撃に使われているのは、ランサムウエアと呼ばれる不正プログラムである。ランサムウエア…

関連記事

独立行政法人情報処理推進機構・江島将和

2020年は新型コロナウイルス感染症の世界的なまん延に伴い、政府機関から日本の組織に対して感染症対策の一環としてニューノーマルな働き方の一つであるテレワークが推奨された…

独立行政法人情報処理推進機構・江島将和

独立行政法人情報処理推進機構(IPA)は、2020年に発生した社会的に影響が大きかったと考えられる情報セキュリティに関するトピックについて、情報セキュリティ分野の研究者な…

独立行政法人情報処理推進機構・江島将和

デジタル技術を活用して企業のビジネスを変革し、自社の競争力を高めていく「デジタルトランスフォーメーション(DX)」が注目を集めている。経済産業省が2018年9月に公開した…