2016年1月22日
一般社団法人JPCERTコーディネーションセンター
1.概要
昨今、Internet of Things (IoT) の普及により、さまざまな機器がインターネットに接続されてきています。その中で、ネットワークカメラ (ネットワーク機能を備えた Web カメラなど)、複合機、データベースシステムなどの機器に対して、インターネットを経由して遠隔の第三者から意図せずアクセスされる事例が報じられています。JPCERT/CCでも、SHODAN[1]などの Web サービスにおいて、インターネットからアクセス可能な状態になっているシステム・機器が、国内に多数存在していることを確認しています。
システム・機器がインターネットに接続されている場合、脆弱性を悪用される以外にも、認証の設定やネットワークの設定に不備が存在すると、カメラに映し出された映像、データベースや複合機に格納された情報などが第三者に窃取されてしまう危険性があります。
自組織で利用しているネットワークカメラ、複合機、データベースシステムなどが予期せぬ被害に遭わないためにも、ソフトウエアやファームウエアのアップデートを行うことや、インターネットに接続しているシステム・機器のセキュリティに関する設定が意図したものになっているかの確認を行うことを推奨します。
2.意図しない第三者からのアクセス事例
意図しない第三者からのアクセスに対する代表的な事例として、ネットワークカメラ、複合機、データベースシステムについて説明します。
(1) ネットワークカメラ
ネットワークカメラにおいて、第三者が映像を閲覧できるなどの事例が報告されています。JPCERT/CCでも複数台のネットワークカメラがインターネットからアクセス可能な状態にあることを確認しています。ネットワークカメラの映像を不正に閲覧され、映像などから利用者のプライバシーに関する情報やカメラの設置場所が漏えいする可能性があります。
(2) 複合機
ネットワークに接続している複合機が、インターネットからアクセス可能な状態になっている事例が報じられており、JPCERT/CCでも国内の複数台の複合機がこのような状態にあることを確認しています。第三者からのアクセスにより、複合機に保存されている情報が窃取されたり、設定が変更されたりする可能性があります。
(3) データベースシステム
インターネットからアクセス可能なデータベースシステムおいて、意図しない第三者にデータベースに格納された情報を窃取されるなどの事例が報告されています。JPCERT/CCでも国内の複数台のサーバにおいて、データベースシステムがインターネットからアクセス可能な状態にあることを確認しています。
第三者からのアクセスによりデータベースの情報が窃取されたり、改ざんされたりする可能性があります。
3.対策
第三者からの意図しないアクセスによる情報窃取など、予期せぬ被害に遭わないためには、以下の対策を実施することを推奨します。
(1)適切なパスワードを設定する、および認証機能を有効にする
ネットワークに接続するシステム・機器は、初期設定では認証機能が無効になっていたり、製品共通の ID とパスワードが設定されていたりする場合があります。初期設定の ID やパスワードは、インターネット上で公開されている製品もあるため、遠隔の第三者が、システム・機器へのログインに使用する可能性があります。認証機能を有効にし、適切なパスワードを設定してください。
(2)アクセスが必要な IP アドレスを制限するなどのネットワークの設定を適切に行う
ネットワークに接続するシステム・機器に対して、インターネットからのアクセスが不要な場合は、インターネットへの公開を停止することをご検討下さい。業務や利用用途により、インターネットからのアクセスが必要な場合は、特定の IP アドレスのみに接続を制限することや、ファイアウォールなどのネットワーク機器を用いたアクセス制限をご検討ください。外出先や遠隔地からネットワークカメラの映像を確認するために、ネットワークカメラを直接インターネットに接続したり、ルータやソフトウエアなどの機能を用いてアクセスできるように設定したりしている場合には特に注意が必要です。ネットワークに接続するシステム・機器を安全に使用する上で、インターネットから第三者によりアクセス可能な設定となっていないかを確認することも重要です。
(3)ソフトウエアを定期的にアップデートする
予期せぬ被害に遭わないためには、脆弱性を悪用した攻撃などの脅威から防ぐことも重要です。ネットワークに接続するシステム・機器に対しても、定期的なソフトウエアのアップデートを行うことを推奨します。
システム・機器の設定方法は、利用している製品により異なります。対策の実施にあたっては、システム・機器のマニュアルを参照する、製品の設置事業者に確認を行うことをお勧めします。また、定期的にシステム・機器のログを確認し、第三者から不正に使用された形跡がないかを確認することも重要です。
4.組織内のセキュリティ意識の向上
予期せぬ被害に遭わないために、セキュリティを意識してシステム・機器を利用することが重要です。管理者は、組織内に設置されたシステム・機器を把握し、適切な設定を施すよう努めてください。また、組織内でのセキュリティへの意識を高めるため、利用者への注意喚起や、必要であれば社内ルールの改善などをご検討ください。
5.参考情報
[1]JPCERT/CC
SHODANを悪用した攻撃に備えて -制御システム編-
https://www.jpcert.or.jp/ics/report0609.html
[2]警察庁
IoT機器を標的とした攻撃の観測について
https://www.npa.go.jp/cyberpolice/detect/pdf/20151215_1.pdf
[3]警察庁
NoSQLデータベースであるRedisを標的としたアクセスについて
https://www.npa.go.jp/cyberpolice/detect/pdf/20160113.pdf
[4]IPA(独立行政法人情報処理推進機構)
【注意喚起】インターネットに接続する複合機等のオフィス機器の再点検を!
https://www.ipa.go.jp/security/ciadr/vul/20160106-printer.html
なお、本件に関しては、以下の問い合わせ先までご連絡ください。
JPCERT/CCインシデント報告(発見報告・被害報告・被害対応依頼) | |
---|---|
info@jpcert.or.jp | |
FAX | 03-3518-2177 |
Webフォーム | https://www.jpcert.or.jp/form/#web_form |
■ 本件に関するお問い合わせ先 JPCERT/CC 早期警戒グループ 洞田/村上 晃 Tel: 03-3518-4600 Fax: 03-3518-4602 E-mail: ww-info@jpcert.or.jp JPCERT/CC 制御システムセキュリティ対策グループ 阿部/中谷 Tel: 03-3518-4600 Fax: 03-3518-4602 E-mail: icsr@jpcert.or.jp |
■ 報道関係からのお問い合わせ先 JPCERT/CC 事業推進基盤グループ 広報 江田/松岡 Tel: 03-3518-4600 Fax: 03-3518-4602 E-mail: pr@jpcert.or.jp |