ネットワーク機器の利用における セキュリティ対策 独立行政法人情報処理推進機構技術本部セキュリティセンター大道晶平

ネットワーク機器の利用における

セキュリティ対策

独立行政法人情報処理推進機構

技術本部 セキュリティセンター

大道 晶平

内容

•

インターネットに接続することについて

ポイントを解説

•

被害事例を紹介

•

対策について考える

2

繋がる機器

国境を越えて繋がる

3

•

あまり意識をしない

まま、様々な機器

がインターネットに

接続されている

•

これらの機器が攻

撃の

ターゲット

にな

ってきている。

インターネットに接続するイメージ

～外部からの接続を拒否～

本駒込二丁目28番8号

202.122.141.45

カメラ

192.168.0.3

太郎

192.168.0.2

玄関

192.168.0.1

4

•

ポイント

– インターネットの住所

（グローバルIP）には誰でも

訪問が可能

–

ドメイン(ex. ipa.go.jp)を取得して

いなくてもアクセスされる

–

外部から内部の機器へのアクセス

を

許可しなければ侵入されない

。

•

ポイント

–

外部からの訪問者を

招き入れたい

場合がある

–

ネットワーク機器の

設定で

内部の

機器へのアクセスを許可できる

–

制限しなければ

誰でも

訪問可能

インターネットに接続するイメージ

～外部からの接続を許可～

本駒込二丁目28番8号

202.122.141.45

応接間

192.168.0.3

太郎

192.168.0.2

玄関

192.168.0.1

5

目的

•

世界を見れるということは、世界から

見られる

可能性がある

•

機器の脆弱性ではなく、

使い方

の問題

6

改めて「インターネットに接続している」

ことの

意識

を変える

被害事例 case.1 複合機

•

2016年1月に、複数の学術機関において複合機が

インターネットからアクセス可能となっていたと報道

–

26校が該当

–

メールアドレスや文書のファイル名等が閲覧できた

•

2013年に続き、IPAで再度注意喚起を実施

http://www.asahi.com/articles/ASHDD45K9HDDPTIL00B.html https://www.ipa.go.jp/security/ciadr/vul/20160106-printer.html 7

被害事例 case.2 ウェブカメラ

•

海外のサイトにおいてインターネットに公開されて

いるウェブカメラの一覧が掲載されていると報道

–

医療機関や製造会社に設置

された防犯カメラも含まれていた

–

IDやパスワードが設定されてい

ない機器が確認されている

•

外部からアクセス可能なウェブ

カメラについては2015年3月に

も報道されている

ウェブカメラ一覧

8 http://www.sankei.com/west/news/160330/wst1603300055-n1.html http://www.asahi.com/articles/ASH3654C1H36PTIL00W.html

被害事例 case.3 ルータ

9

•

ルータが乗っ取られ、DDoS攻撃等への悪用が可

能になっていると報道

–

全てのルータで

リモートアクセスが可能

–

ほぼ全てのルータが

初期パスワード

を変更していない

–

LAN内の他の機器にアクセスされる可能性もある

http://japan.zdnet.com/article/35064561/

内部だけでなく、外部への攻撃にも悪用される

ここで素朴な疑問

•

ドメイン(ex. ipa.go.jp)を

取得してない

から大丈夫?

•

自組織のグローバル IP アドレスなんて

誰も興味ない

から大丈夫?

•

有名ではない機器

を使用しているから大丈夫?

10

このような認識の方にこそ聴いていただきたい!

素朴な疑問への回答

•

ドメイン(ex. ipa.go.jp)を取得してないから大丈夫?

→

グローバルIPアドレス

ならアクセスされる

•

自組織のグローバル IP アドレスなんて誰も興味ない

から大丈夫?

→世界中の機器を調査した

データが公開されている

•

有名ではない機器を使用しているから大丈夫?

→

適宜調査対象は追加される

11

このような認識の方にこそ「

容易に探せる

」

ということを知ってただきたい!

インターネットに接続された機器を

検索するエンジンの存在

•

「Shodan」というサービスで

インターネットに接続された

機器の検索

が可能

•

Google

でもウェブカメラの

検索といった類似の検索は

可能

12

検索エンジンの活用

～問題が存在する機器の探索1～

•

MongoDBというデータベースソフトが不適切な設定

のために外部からアクセス可能になっていると報道

–

Shodanで調査した結果、海外で投票者の情報を発見された

•

ファイアウォールの製品に遠隔アクセスが可能な

脆弱性が存在すると報道

–

検索エンジンを使用して、5万台以上が

がインターネットからアクセス可能と確認

–

1500台以上がパッチを適用されていない

13 http://www.itmedia.co.jp/enterprise/articles/1502/23/news141.html http://arstechnica.co.uk/security/2016/04/millions-of-mexican-voter-records-leaked-amazon-cloud/ http://www.securityweek.com/backdoors-not-patched-many-juniper-firewalls

検索エンジンの活用

～問題が存在する機器の探索2～

•

米国でガソリンポンプの監視システムへの攻撃を

確認したと報道

–

Shodanによる調査の結果、米国で多数の監視システム

がインターネット上に公開されていた

•

海外でトラックの通信機器にインターネットからアク

セス可能だったと報道

–

Shodanによる調査で、数百の機器を確認した

–

多くの機器はアクセスに

認証の必要がなかった

14 http://blog.trendmicro.co.jp/archives/10922 http://news.softpedia.com/news/internet-connected-trucks-can-be-tracked-and-hacked-researcher -finds-501415.shtml

対策

～管理の明確化～

•

管理者を明確する

•

ネットワーク接続のルールを定める

•

利用者に周知する

管理者 利用者 15

管理

周知

ルールを定める

•

必要がない機器を外部ネットワークに接続しない

•

原則ファイアウォールやブロードバンドルータを経

由させ、許可する通信を限定する

対策

～ネットワークによる保護～

悪意ある第三者 外部からの利用者や ベンダーの保守員 管理者 利用者 16

対策

～適切な設定～

•

管理者用のアカウント/パスワードを初期値から変更

•

ソフトウェアを最新の状態に更新する

悪意ある第三者 外部からの利用者や ベンダーの保守員 管理者 利用者 17

まとめ

•

世界中から

見られる

可能性がある

•

攻撃者は、検索エンジンなどを利用して

簡単

にターゲットを探せる

•

ネットワーク機器は

正しく設定

して利用する

18

高度な対策の前に、まずは

基本の対策

を！

新試験はじまる！

情報セキュリティマネジメント試験

◆28年度秋期試験実施時期◆

・実施日 2016年

10月16日（日）

・申込受付 2016年

7月11日（月）

から

・

個人情報を扱う

全ての方

・業務部門・管理部門で

情報管理を担当する

全ての方

◆受験をお勧めする方◆

初回応募者

約2万3千人！！

情報セキュリティの基礎知識から管理能力まで、

組織の情報セキュリティ確保に貢献し、脅威から

継続的に組織を守るための基本的スキルを認定する試験

19

「ｉパス」は、ITを利活用する

すべての社会人・学生

が備えておくべき

ITに関する基礎的な知識が証明できる国家試験です。

ITパスポート公式キャラクター 上峰亜衣（うえみねあい） 【プロフィール：マンガ】 https://www3.jitec.ipa.go.jp/JitesCbt/html/uemine/profile.html 20