IPA テクニカルウォッチ
「増加するインターネット接続機器の
不適切な情報公開とその対策」
目次
はじめに ... 1 本書の対象読者 ... 1 注意事項 ... 1 1. オフィス機器とサーバー機能 ... 2 1.1. オフィス機器のサーバー機能 ... 2 1.2. オフィス機器の問題と脅威 ... 4 2. インターネット接続機器検索サービス SHODAN ... 6 2.1. SHODAN とは ... 6 2.2. SHODAN の仕組み ... 7 2.3. SHODAN で検索可能な情報 ... 8 3. SHODAN を使用した自組織の検査 ... 11 4. 実施すべき対策 ... 15 5. おわりに ... 171
はじめに
インターネットに接続されている機器の数は年々増加している。2013 年 12 月のガート ナー社の発表1によると、PC・タブレット・スマートフォンを除いたインターネットに接続 されている「モノのインターネット(IoT)」の数は、2009 年の 9 億から 2020 年には 260 億に達すると予測されている。このIoT の存在は数年前より世界的に注目されており、そ れに伴いオフィス内のIoT つまりネットワークに接続している機器(以下、オフィス機器) のセキュリティ対策の必要性も注目されている。日本においても、2013 年 11 月、学術機 関などの複合機内の機密情報をインターネットから閲覧できると報道機関が指摘2し、複合 機を含めたオフィス機器のセキュリティが大きな話題となった。 オフィス機器の多くはサーバー機能を有しており、ネットワークに接続することでPC や スマートフォンなどから機器を利用できる。一方で、不適切にインターネットに接続され ているオフィス機器が、格好の攻撃ターゲットとなっている現状がある。その中、インタ ーネットに接続されている機器を検索できるサービスSHODAN が 2009 年に登場したこと によって、攻撃者による攻撃ターゲットの機器の発見が容易となったため、より適切な対 策が管理者に求められる状況となっている。 本書では、オフィス機器のサーバー機能とSHODAN について解説している。PC と同様 にオフィス機器にもセキュリティ対策が必要であるという理解を促し、インターネットに 不適切に公開している機器がないか管理者自身がSHODAN を用いて検査することで、適 切にオフィス機器が保護されることを期待する。なお、本書の内容は、オフィス機器に限 定されるわけではなく、インターネット接続機能を有する情報家電や制御システム機器に も適用可能なものである。本書の対象読者
・ネットワーク管理者 ・オフィス機器をはじめとしたネットワーク接続機能を有する機器の管理者注意事項
SHODAN を用いた調査を実施する場合、SHODAN の検索結果に他組織のサーバーや機 器が表示される可能性があります。表示された他組織のサーバーや機器にはアクセスを行 わないでください。本書の手法を検証した結果を悪用して発生するいかなる被害や損害に ついて、IPA はなんら責任を負うものではありません。1 Gartner Says the Internet of Things Installed Base Will Grow to 26 Billion Units By 2020
http://www.gartner.com/newsroom/id/2636073
2 住民票・答案…複合機の蓄積データ、公開状態に
2
1. オフィス機器とサーバー機能
組織のネットワーク内にはさまざまなオフィス機器が存在する。複合機などの大型の機 器やウェブカメラのような小型の機器も、ネットワーク上は1 台1台がサーバーとして機 能している。そのため、業務用のウェブサーバーやPC などと同様に、オフィス機器も導入 前に機能や動作を理解した上で、ネットワークに接続する必要がある。 図 1-1:組織内に存在するさまざまな機器1.1. オフィス機器のサーバー機能
オフィス機器には、ウェブサーバーやPC と同様に、Linux や BSD 系 UNIX、Windows 等のOS が、カスタマイズされて搭載されており、その OS 上でサーバーアプリケーション が稼動している。 多くの機器では、機器の設定変更を行うインターフェースとしてウェブサーバー機能が 搭載されている。その他にファイル共有サーバー機能(FTP、SMB)、メールサーバー機能 を搭載する機器も存在している。これらの機能を利用して、ブラウザ経由で設定を変更や、 オフィス機器で処理したデータの取り出しなどに用いられている。3 図 1-2:オフィス機器へのアクセス(イメージ) 表 1-1 にオフィス機器が持つサーバー機能を示す(IPA が実機や製品サイトで確認した 結果を参考までに例示)。中でも、ウェブインターフェースを有した機器が利便性の観点か らも着実に増加している。また、機器にサーバー機能が搭載されることにより、従来想定 されていなかったデータの漏えい、不正アクセス等の新たな脅威が顕在化している。 表 1-1:サーバー機能を持つ機器と脅威 ウェブ ファイル共有 メール その他 1複合機 (プリンター、スキャナー、FAX) 事務用機器 ○ ○ ○ スキャンデータや印刷データの漏えい 設定情報の漏えいや設定変更 2ネットワーク対応HDD(NAS) 情報管理機器 ○ ○ ○ DNS Telnet/SSH DoS攻撃の踏み台 保存情報の漏えい 設定情報の漏えいや設定変更 3デバイスサーバー (USBサーバー、プリンタサーバー) 情報管理機器 ○ ○ 保存情報の漏えい 設定情報の漏えいや設定変更 4カメラ(IPカメラ、ウェブカメラ) 通信機器 ○ ○ ○ 撮影情報の漏えい 設定情報の漏えいや設定変更 5テレビ会議システム 通信機器 ○ Telnet/SSH会議内容の漏えい 設定情報の漏えいや設定変更 6ブロードバンドルータ 通信機器 ○ ○ DNS NTP Telnet/SSH DoS攻撃の踏み台 保存情報の漏えい 設定情報の漏えいや設定変更 7デジタル液晶テレビ 家電 ○ 撮影情報の漏えい 設定情報の漏えいや設定変更 8ブルーレイディスクレコーダー ハードディスクレコーダー 家電 ○ ○ 保存情報の漏えい 設定情報の漏えいや設定変更 # ネットワーク機器 タイプ 利用できる機能 脅威
4
1.2. オフィス機器の問題と脅威
オフィス機器の多くは、購入してすぐ利用できるように設定されて出荷されているため、 初期設定ではログイン認証が設定されていない場合や利用しない不要な機能が有効となっ ている場合があることを、認識していない管理者も多い。さらに、その機器をネットワー ク機器で保護せずに初期設定のままインターネットに接続することで、利用者だけでなく 攻撃者からもアクセス可能な状態となり、セキュリティ事故が発生する可能性がある。 以下にオフィス機器を初期設定のままインターネットに接続することによって生じる脅 威を示す。 機密情報の漏えい 複合機など機器の多くは、ウェブサーバーを内蔵し、ウェブインターフェースに より、トナーの残量確認やスキャナーで読み取ったデータを取り出すなどの管理機 能を有している。管理機能へのアクセスは、ID・パスワードによる認証により制限 している。しかし、認証機能が無効な状態やパスワードが工場出荷時の状態のまま で導入・設置すると、攻撃者に不正アクセスを許してしまい、電子データが持ち出 されることが想定される。中でも複合機内に個人情報や業務機密を含む電子データ が保存されていた場合、重大な情報漏えい事故に発展してしまう。 また、多くのウェブカメラやテレビ会議システムには、ブラウザで映像を確認で きる機能が内在している。インターネットからのアクセスを制限していないネット ワークにこれらの機器を配置することで、遠隔からの不正アクセスを許してしまい、 在席状況や重要な会議の内容が外部に漏れる危険性がある。問題を引き起す要因の 根底には、機器にウェブサーバーが搭載されているなどの仕様に、管理者や利用者 が気づいていないため、その仕様に起因する脅威に認識が及ばないことが挙げられ る。 (実際に発生した事例) 2013 年 11 月、日本国内の複数の大学の複合機のスキャナーや FAX で読み取った 情報が、インターネット上で誰でも閲覧できる状態で公開されていることを一部の 報道機関が報じた。公開されていた情報には個人情報を含む機密性の高い情報が含 まれていた。 設定情報の変更 ブロードバンドルーターをはじめとしたネットワーク機器やウェブカメラなどの 機器には画面やキーボードが無いため、ウェブインターフェースによってPC から設 定変更が行える。攻撃者は、パスワード推測や辞書攻撃等により不正ログインする5 ことで、設定変更を試みる。企業のネットワーク機器が攻撃に遭った場合、不正な ルーティング設定により利用者を攻撃者が用意したサーバーに誘導することなどが 行われる。 (実際に発生した事例) 2013 年、一部のブロードバンドルーターに存在する脆弱性が悪用され、インター ネットプロバイダに接続するための認証ID とパスワードが不正に取得され、それら を変更される事例が相次いで発生した3。この脆弱性およびその対策情報は2012 年 に公表されており、利用者はブロードバンドルーターを最新のファームウェアにア ップデートする対応を行う必要があったが、放置されているルーターが多かった。 このように、PC 以外の機器は、アップデートが自動配信される Windows などと異 なり、ユーザーが機器のアップデートの存在を知る機会が少なく、脆弱性が放置さ れがちである。 攻撃の踏み台 一部のオフィス機器では、DNS4やNTP5などのサービスが起動している。これら のサーバー機能が攻撃の踏み台に悪用され、サービス妨害攻撃に加担させられる可 能性がある。また、複合機などのメール送信機能を有した機器は、スパムメール送 信の踏み台に悪用される可能性もある。 (実際に発生した事例) 2004 年、100 台以上の国産のハードディスクレコーダーからブログサイトに対し て大量の書き込み(コメントスパム)が行われた6。特定機種のハードディスクレコ ーダーが、「HTTP プロキシ」に関して脆弱な仕様となっており、攻撃の踏み台に悪 用された。2000 年台に製造された機器の多くは、セキュリティに配慮しない設計が 施され、一般的に使用するにあたって不必要な機能が有効になっていると言っても 過言ではない。これらの古い機器が現在も稼動していることが、攻撃者に悪用され てしまう大きな要因となっている。 3 インターネット接続サービス「OCN」における 認証パスワードを不正に変更された事象について http://www.ntt.com/release/monthNEWS/detail/20130626.html
4 Domain Name System (DNS) はドメイン名と IP アドレスとの関連付けに用いられるサービス 5 Network Time Protocol (NTP) は機器内の時計を正しい時刻に設定するために用いられるサービス 6ネット家電に潜むセキュリティホール
6
2. インターネット接続機器検索サービス
SHODAN
オフィス機器は2000 年代前半ごろから普及が始まり、ネットワーク対応機種の増加や、 インターネットの普及も伴って、不用意にインターネットに接続されるオフィス機器の数 が年々増加している。この様な状況の中、2009 年に SHODAN というインターネットに接 続している機器の検索システムが登場した。本章では、登場以来注目され続けている SHODAN について解説する。2.1. SHODAN とは
SHODAN は、2009 年に John Matherly 氏によって開発された検索エンジンである。 SHODAN には、ウェブサーバーだけでなく、オフィス機器、情報家電、信号機や発電所の 制御機器なども含めて、インターネット接続されているさまざまな機器約5 億台の情報が データベースに格納されており、利用者はその機器の情報をウェブで検索できる。 図 2-1:SHODAN のトップページ 実際にSHODAN を使用すると、認証が弱い機器や古いバージョンのまま運用されてい る機器など、セキュリティに問題がある機器を見つけることができる。昨今の研究者によ る発表や報道では、攻撃の足がかりにされるSHODAN の存在は深刻な脅威であるという 声が大きい。しかし、SHODAN の存在有無に関わらず、適切にネットワークで保護してい
7 れば、被害が発生することはない。逆に組織内のチェックにSHODAN を用いることで、 不適切な設定をしている機器を外部から発見し、早期に問題点を対処することで攻撃の糸 口を断ち切ることができる。 表 2-1 に示す通り、SHODAN に登録されている約 5 億台の機器うち約 3%の 1 千 4 百万 台が日本国内に存在する機器である。SHODAN にはさまざまなサーバー機能を持つ機器が 登録されている。 表 2-1:SHODAN に登録されている日本の機器の台数と代表的なポート(2014/2/12 時点)
2.2. SHODAN の仕組み
SHODAN は、ポートスキャン7とバナー8の調査により、インターネットに接続されてい る機器情報を収集して公開しているウェブサイトである。以下の流れで情報が収集され公 開される。 SHODAN の情報収集の流れ ① インターネット上のあらゆる IP アドレスとポート番号を推測して接続要求を 次々に送信(クローリング) ② 存在するサーバーから応答メッセージ(バナー)を受信 ③ 応答メッセージ(バナー)からサーバーや機器の付加情報を抽出 ④ データベースに情報を保存 ⑤ 情報検索機能を備えたウェブサービスで公開 7 サーバーへ手当たり次第アクセスを試みてそれに応答する機器をあぶりだす古典的な手法である 8 サーバーからの応答に含まれる情報であり、サービスや製品などを特定できるデータである 台数 (サーバー・PCを含む) SHODANに登録されている機器 483,708,140 日本として登録されている機器 14,016,602 ポート80番(HTTP) 3,293,873 ポート25番(SMTP) 957,961 ポート21番(FTP) 553,202 ポート8080番(HTTP) 290,971 ポート53番(DNS) 263,009 ポート123番(NTP) 254,728 ポート137番(NetBIOS) 151,215 ポート445番(SMB) 20,5138 図 2-2:SHODAN の情報収集と公開のイメージ ポートスキャンにより、インターネットに接続されている機器を発見する場合、闇雲に リクエストを送信する必要があるため効率が悪い。また、大量にスキャンするには、ツー ルやプログラムによって自動化する必要があり、ある程度の技術が必要となる。一方で、 SHODAN を利用すれば、自身でポートスキャンを行わなくても、不用意に公開された機器 を、ブラウザを使って容易に発見することができる。
2.3. SHODAN で検索可能な情報
SHODAN では、取得したデータに位置情報などを付加して保存しており、SHODAN の 利用者は、表2-2 で示すような情報に対して、多様な検索オプションや API などを用いて、 高度な検索を行うことが可能となっている。一部の機能を利用するには、無料のユーザー 登録をしてからログインする必要がある。また、有償アカウントや有償オプション(アド オン)を購入することで、一部の機能を有効にすることができる。 検索対象 検索対象の情報は、IP アドレスとバナーを元に調査した情報が格納されている。 インターネット上の機器 SHODAN SHODAN利用者 研究者 管理者 攻撃者 攻撃者 テレビ会議システム ハードディスクレコーダー デジタル液晶テレビ 複合機9 表 2-2:SHODAN で検索可能な情報 上記のうち、バナー情報がSHODAN にとって重要な意味を持っている。一般的に、機 器のバナー情報には、機器やサービスなどに関する多くの情報が含まれており、機器やサ ービスおよびその状態によってバナーの内容が異なる。インターネット上をスキャンして 得られたバナー情報を、SHODAN を用いて検索できることが、セキュリティに問題がある 機器を発見できる仕掛けとなっている。以下に実際に検索した結果を例示する。 検索結果に表示されるバナーの例 バナーにデフォルトパスワードが表示されている例 バナーには機器やサービスの情報が表示される。図2-3 は、SHODAN の検索結果 にネットワーク機器のバナーが表示された例である。特定の機器のバナーには、 Telnet とウェブサービス(HTTP、HTTPS)が有効であることや、その初期ユーザ ー名「admin」と初期パスワード「password」が表示されている。この内容は管理 者に向けたバナー情報であるが、バナー情報は誰でも閲覧できるため、結果として 攻撃者にもパスワードが知られかねない。これは一例であり、他にも同様に、バナ ー情報によって攻撃者にヒントを与えてしまう機器が多数存在する。 1IPアドレス 2ホスト名 FQDN(完全修飾ドメイン名) 3ドメイン保有者情報 Whoisコマンド(インターネット上でのドメイン名やIPアド レスなど検索するためのコマンド)の結果 4位置情報 国名 都市名 緯度・経度 5ポート番号 プロトコル名 6OS 7バナー情報 バナーに含まれる特長的な文字列 (製品名やバージョン情報、 デフォルトパスワードの使用や匿名接続可能など) 8SHODANへの登録日 指定した日より前や後に登録された機器を検索可 # 検索対象 補足
10 図 2-3:バナーにデフォルトパスワードが記載されている例 上記の通り、SHODAN は、インターネット上の約 5 億もの機器が応答するバナー情報を 収集して検索できるようにしたウェブサービスである。これはインターネット技術を応用 したサービスであるため、SHODAN でなくても技術力があれば実現可能であることを理解 しなければならない。ネットワーク管理者は、SHODAN の存在や悪用を問題視するよりも、 逆にSHODAN を自組織の機器の確認に活用することが望ましい。 SHODAN への登録日 ユーザー名と初期パスワード IP アドレス ホスト名 バナー情報
11
3. SHODAN を使用した自組織の検査
前章までで解説した通り、管理者はSHODAN を用いることで、把握している以外の機 器がインターネット上に公開されていないか容易に確認することができる。 本章では、SHODAN の利用方法と SHODAN を使った自組織のネットワーク環境の検査 について、ドメイン名とIP アドレスの 2 種類の検索方法を使った手順について紹介する。 SHODAN の利用方法 ① SHODAN のトップページにアクセスする。 http://www.shodanhq.com/ 図 3-1:ブラウザの入力バー ② 画面上部の検索フォームに検索文字列を入力し、Search ボタンを押す。 図 3-2:SHODAN 検索フォーム ③ 検索結果が表示される。 ④ 表示結果と把握管理している機器情報(管理リストなど)と差異がないか、把 握外の機器が無いか、利用していないサービスが公開されているかなど設定に 不備が無いかを確認する。12 利用例1:ドメインによる検索(IPA のドメインを検索した例) ① SHODAN の検索フォームに自組織のドメイン「hostname:ipa.go.jp」と入力し、 Search ボタンをクリックする。 図 3-3:「hostname:ipa.go.jp」と入力 ② 以下の検索結果が表示される。 図 3-4:「hostname:ipa.go.jp」検索結果の一部 ③ 検索結果から自身が管理している機器の情報を確認する。 確認の結果、40 件のインターネット接続機器の情報が得られた。バナー情報に オフィス機器と特定できる情報が確認できなかったため、オフィス機器が不適 切に公開されていないと判断できる。 上記に例示したホスト名での検索は、SHODAN へのログインは不要である。 次にユーザー登録が必要となるIP アドレスによる検索例を紹介する。 IP アドレス SHODAN への登録日 バナー情報 40 件ヒット
13 利用例 2:IP アドレスによる検索(IP アドレス「162.159.244.38」を検索した例) ① IP アドレスでの検索は、SHODAN にログインする必要があるため、無料でア
カウントを作成しログインする。Google や Microsoft の Windows Live アカウ ントなどでもログインが可能である。 図 3-5:SHODAN のログイン画面 ② 画面上部の検索フォームに検査したいインターネットのIP アドレス 「net:162.159.244.38」と入力し、Search ボタンをクリックする。 もし自組織のインターネットのIP アドレス(グローバル IP アドレス)が不 明である場合、契約しているインターネットサービスプロバイダ(ISP)への問 い合わせや、接続元IP アドレスが確認できるウェブサービスを利用することで 確認できる。 図 3-6:「net:162.159.244.38」と入力 「net:162.159.244.0/24」のように検索文字列はネットワークアドレスを指定 することができる。このように検索することで管理しているIP アドレス帯を検 索することもでき、その結果、管理外の機器が見つかる場合もある。
14 ③ 検索結果が表示される。 図 3-7:「net:162.159.244.38」検索結果の一部 ④ 検索結果の情報を確認する。 検索結果に表示された3 件はウェブサーバーであり、検索結果からオフィス 機器は見つからなかった。(補足:この利用例で入力した「162.159.244.38」は SHODAN の IP アドレス。) なお、SHODAN にログインしている場合、検索結果に表示されるリンクをク リックすることで、同じIP アドレスのサーバー上で他に複数のサービスが提供 されていないか一覧で確認することができる。 以上がSHODAN を使用した自組織のインターネット接続サーバーや検査手順である。 この手順により、自組織がインターネット側からどう見えているかを確認することができ る。上記の例では問題が発見されなかったが、検索結果に自組織の把握管理している以外 の機器が表示された場合、あるいは利用しない機能が公開されていた場合、管理方法や機 器の設定を見直し、必要に応じて対策する必要がある。 3 件ヒット 3 件ヒットIP アドレスごとのサービス一覧へのリンク
15
4. 実施すべき対策
オフィス機器のセキュリティ対策は、攻撃者がSHODAN を検索して外部からアクセス してくることを意識して、以下に示す3 つの対策を行うことが重要である。自組織の運用 管理の参考にしていただきたい。 (1) 管理の明確化 ネットワーク管理者がインターネット接続機器を統括して把握できるように、下記の 対応を実施する。 オフィス機器のネットワーク接続に関して、ルールを定め、内部に周知させる。 オフィス機器の管理者を明確する。 SHODAN やペネトレーションツールの活用などによって、定期的にネットワー クを外部から検査し、管理外の機器が接続されていないことを確認する。 (2) ネットワークによる保護 外部からの不正アクセスやリモートからの内部攻撃に備え、不正から防御できるよう に下記のようなネットワーク構成を行う。 必要性がない場合は、オフィス機器を外部ネットワーク(インターネット)に 接続しない。 外部ネットワークとオフィス機器を接続する場合には、原則ファイアウォール やブロードバンドルーターを経由させ、許可する通信だけに限定する。 ネットワークセグメントを適切に分離し、管理機能へのアクセスを制限する。 又は、アクセス元のIP アドレスを限定し、管理機能へのアクセスを制限する。 (3) オフィス機器の適切な設定 オフィス機器をネットワークに接続する前にマニュアルを読み、以下を確認して工場 出荷時の設定から適切な設定に変更する。 使用しない機能をオフにする。 管理者用アカウント/パスワードを工場出荷時から変更する。 ソフトウェアのアップデート(機器の製品ページを確認し、ソフトウェアを最 新の状態に更新する)16 図 4-1:オフィス機器のセキュリティ対策
17
5. おわりに
本書では、オフィス機器のインターネット接続に伴うセキュリティ脅威やSHODAN を 使用した検査手順について紹介した。近年、ネットワーク接続を伴う機器は増加傾向にあ り、ネットワーク管理者は、オフィス機器をはじめとしたインターネットに接続できる機 能を有する機器の機能構造や、ネットワークに接続することにより発生する脅威を理解し た上で、対策に繋げることが重要である。また、サーバーやさまざまな機器の入替えによ り、ネットワーク環境は随時変化していく。そのため、定期的にSHODAN やペネトレー ションツールを使い、対策状況を外部からチェックすることも必要である。 また、昨年2013 年 11 月、複合機内の情報がインターネットから誰でも閲覧できてしま う問題が注目されたが、インターネットからの攻撃だけでなく、LAN 内からの内部犯や標 的型の攻撃によって機密情報を閲覧されることも想定して対策を検討することを、IPA は強 く推奨する。 最後に、本書が機器の運用に活用され、組織のセキュリティ強化の一助になることを期 待している。IPA テクニカルウォッチ