第440号コラム:小山 覚 理事
(NTTコミュニケーションズ株式会社 情報セキュリティ部 部長)
題:「IoTのセキュリティ対策、その3」
IoTのセキュリティ対策について、第3回目のコラムにお付き合いください。今回はIoT機器に設定するIDやパスワードの重要性についてです。
10月21日、ついに恐れていた大規模攻撃が発生しました。
防犯カメラやビデオレコーダなど脆弱な機器が乗っ取られ、遠隔で操作される大規模なボットネットが構築され、インターネットの根幹を担うDNSサーバを攻撃され、Twitterなど多数のサービスが停止する大きな影響を受けました。
http://www.itmedia.co.jp/news/articles/1610/22/news024.html
私は第350号と第413号のコラムで、IoTのセキュリティ対策について愚説を述べさせていただいた事もあり残念でなりません。しかし冷めた意見のようで恐縮ですが、これは起こるべくして起きた攻撃であり、特段の驚きはありません。一握りのインターネットユーザの仕業でも、世界を混乱させられる現実を再確認したにすぎません。
実は1回ぐらい「それ見たことか!」と言ってみたいところですが、特効薬的な対策が提案できない状況では偉そうなことも言えず、歯がゆい思いをしているのが本当のところです。しかし特効薬はないものの、次善の策として提案していきたいのが、リモートから悪用されないパスワードの設定です。
インターネットに接続されている防犯カメラなどのIoT機器は無数に存在します。無数に存在するが故に、これらが攻撃命令を受け一斉に一箇所に向けて通信を発生させると、標的となったサーバがダウンするだけではなく、ネットワークそのものもパンクしてしまいます。残念ながら、このような被害は今後も度々発生するにちがいありません。
冒頭でご紹介した攻撃事例では「MIRAI」というボットネットが、防犯カメラやビデオレコーダに攻撃プログラムを埋め込んで攻撃を行いましたが、攻撃プログラムを埋め込むためには、機器にログインしプログラムをインストールしなければなりません。今回の攻撃では数十万台の防犯カメラやビデオレコーダなどが攻撃に悪用されましたが、数十万台を乗っ取るために使われたIDとパスワードの組み合わせは、なんとわずか62組でした。例えば、今回悪用された具体的なID/パスワードの例では、IDが「admin」の場合に、組み合わされたパスワードは「1111・1234・12345・123456・admin・pass・password」等々で、目を覆いたくなるようなものばかりです。でもこれが実態です。
http://jvn.jp/ta/JVNTA95530271/
IoT機器やインターネットに接続する機器は、複数の人がアクセスし管理する都合上、誰もが忘れないようなパスワードが設定されることが多々あります。その気持ちはわかります。しかし利用者が設定したIDとパスワードならまだしも、メーカー自身が出荷時に設定するIDとパスワードそのものが脆弱と言わざるを得ません。有名な日本の機器メーカーでも、工場出荷時のIDとパスワードが「admin/admin」や「admin/password」のような例が散見され、悪用してくれと言わんばかりの脆弱さです。
私自身IoTのセキュリティ対策のガイドラインの執筆に関わっており、セキュリティ対策が広範囲に且つ重層的に必要なことは承知しております。開発時から運用まで様々な対策が求められる中で、いかに高度なセキュリティ対策を実装しても、利用する段階で出荷時設定のIDとパスワードを変更せず、そのまま利用していては元も子もありません。メーカーの皆様は安易な初期設定で出荷する習慣は改めるべきだと強く思います。
パソコンやスマホなど普段から手にするモノであれば「パスワードを毎月変更する」ことや「後から設定変更する」ことも可能かもしれません。しかし防犯カメラやビデオレコーダなどのパスワードを気にする人は少数と言わざるを得ませんし、この問題を解決するために、利用者を啓発し行動してもらう、つまり後からパスワードを変更してもらうのは至難の業です。
しかし、メーカーの皆さんであれば工場出荷時のパスワード設定や、出荷後のソフトウェアのアップデート管理徹底が、製品やサービスの競争力強化に繋がることをご理解されているはずです。
自分のため、他人に迷惑をかけないため、IoTのビジネスで国際競争力を身に付けるためにも、IDとパスワードについて改めて考えてみませんか?
【著作権は、小山氏に属します】