目次 はじめに... 1 本書の対象読者... 1 注意事項 オフィス機器とサーバー機能 オフィス機器のサーバー機能 オフィス機器の問題と脅威 インターネット接続機器検索サービス SHODAN SHODAN

Similar documents
IPA テクニカルウォッチ 増加するインターネット接続機器の不適切な情報公開とその対策 ~ あなたのシステムや機器が見られているかもしれない ~

ネットワーク機器の利用における セキュリティ対策 独立行政法人情報処理推進機構技術本部セキュリティセンター大道晶平

SHODANを悪用した攻撃に備えて-制御システム編-

設定画面から ネットワーク設定 をタップします 管理者パスワード をタップします 管理者パスワードを入力して管理者としてログインします 管理者パスワードを入力して管理者としてログインします IPv4 設定 の IPv4 アドレス の値を確認します ネットワーク設定 をタップします もしくは ホーム画

Canon Mobile Scanning MEAP Application インストールについて

目次 1. PDF 変換サービスの設定について )Internet Explorer をご利用の場合 )Microsoft Edge をご利用の場合 )Google Chrome をご利用の場合 )Mozilla Firefox をご利

I N D E X リダイレクト画面投稿手順 リダイレクト画面投稿手順 2 1 管理画面にログイン 2 右上の + 追加 を押す メールサービスのご利用について 4 メールソフト設定方法 ご利用のバージョンにより 画面や設定項目が異なる場

目次 メールの基本設定内容 2 メールの設定方法 Windows Vista / Windows 7 (Windows Live Mail) Windows 8 / Windows 10 (Mozilla Thunderbird) 3 5 Windows (Outlook 2016) メ

「みえますねっと年間パック」のはじめかた・i-PRO/BB-Sシリーズ

CloudEdgeあんしんプラス月次レポート解説書(1_0版) _docx

novas HOME+CA WEB 設定画面アクセス方法 novas HOME+CA の WEB 設定画面接続方法 本製品の設定は WEB 設定画面から変更できます WEB 設定画面のアクセス方法は以下のとおりです 1 本製品と有線または無線 LAN で接続した端末で WEB ブラウザを起動します

メールデータ移行手順

モバイル統合アプリケーション 障害切り分け手順書

メールソフト設定ガイド

汎用プロキシ利用案内 汎用プロキシ利用案内 目次 汎用プロキシ利用案内 はじめに 汎用プロキシとは 利用可能なポート 概要 動作環境 インストール Windows <I

1. 信頼済みサイトの設定 (1/3) この設定をしないとレイアウト ( 公報 ) ダウンロードなどの一部の機能が使えませんので 必ず設定してください 1 Internet Explorer を起動し [ ツール ]-[ インターネットオプション (O)] を選択します 2 [ セキュリティ ] の

(Microsoft PowerPoint - TASKalfa256ci\274\330\260\275\336_FAX\216\363\220ME\322\260\331\223]\221\227\220\335\222\350Ver1.1.ppt)

目次 移行前の作業 3 ステップ1: 移行元サービス メールソフトの設定変更 3 ステップ2: アルファメール2 メールソフトの設定追加 6 ステップ3: アルファメール2 サーバへの接続テスト 11 ステップ4: 管理者へ完了報告 11 移行完了後の作業 14 作業の流れ 14 ステップ1: メー

アルファメール 移行設定の手引き Outlook2016

TeamViewer 9マニュアル – Wake-on-LAN

安全な Web サイトの作り方 7 版 と Android アプリの脆弱性対策 独立行政法人情報処理推進機構 (IPA) 技術本部セキュリティセンター Copyright 2015 独立行政法人情報処理推進機構

SAMBA Stunnel(Windows) 編 1. インストール 1 セキュア SAMBA の URL にアクセスし ログインを行います xxx 部分は会社様によって異なります xxxxx 2 Windows 版ダウンロード ボ

BACREX-R クライアント利用者用ドキュメント

10 完了 をクリック 13 このサーバーは認証が必要 をチェックして 設定 をクリック Windows メール Windows Vista に標準のメールソフト Windows メール の設定方法を説明します 1 スタート から 電子メール Windows メール をクリック 11 続いて設定ファ

Microsoft Word - Gmail-mailsoft_ docx

SMB送信機能

1. ネットワーク経由でダウンロードする場合の注意事項 ダウンロード作業における確認事項 PC 上にファイアウォールの設定がされている場合は 必ずファイアウォールを無効にしてください また ウイルス検知ソフトウェアが起動している場合は 一旦その機能を無効にしてください プリンターは必ず停止状態 (

9. システム設定 9-1 ネットワーク設定 itmはインターネットを経由して遠隔地から操作を行ったり 異常が発生したときに電子メールで連絡を受け取ることが可能です これらの機能を利用するにはiTM 本体のネットワーク設定が必要になります 設定の手順を説明します 1. メニューリスト画面のシステム設

SMB送信機能

LTE モバイルルータ ソフトウェア更新手順 第 2 版 2017 年 9 月 富士通株式会社

(Microsoft PowerPoint - TASKalfa552ci\274\330\260\275\336_E\322\260\331\221\227\220M\220\335\222\350Ver1.4.ppt)

リモートアクセス Smart Device VPN ユーザマニュアル [ マネージドイントラネット Smart Device VPN 利用者さま向け ] 2015 年 10 月 20 日 Version 1.6 bit- drive Version 1.6 リモートアクセス S

2 1: ネットワーク設定手順書 が完了後に行なってください 鏡野町有線テレビ 各種設定手順書 この手順書では以下の内容の手順を解説しています メール設定 ホームページの掲載 お客様がご利用の OS により設定方法が異なる部分があります OS をご確認の上 作業を行なってください お客

目次 目次... 本書の見かた... 商標について... 重要なお知らせ... はじめに... 4 概要... 4 使用環境について... 5 サポートされている OS... 5 ネットワーク設定... 5 印刷... 8 ipad iphone ipod touch から印刷する... 8 OS

TeamViewer マニュアル – Wake-on-LAN

WebARENA SuiteX V2 EC-CUBE 2.13 インストールマニュアル ( 標準 MySQL+ 非 SSL ) 作成 :2014 年 2 月 Ver.1.1

conf_example_260V2_inet_snat.pdf

InfoPrint SP 8200使用説明書(6. セキュリティ強化機能を設定する)

ご利用の前に 目次 推奨環境とソフトウェアのバージョン 推奨環境について Windows8 Windows8.1 について Internet Explorer のバージョン確認 SAMWEB の初期設定 セ

メール設定

Android用 印刷プラグイン Canon Print Service マニュアル

SMB送信機能


福岡大学ネットワーク認証・検疫システム実施マニュアル

はじめに このマニュアルは BACREX-R を実際に使用する前に知っておいて頂きたい内容として 使用する前の設定や 動作に関する注意事項を記述したものです 最初に必ずお読み頂き 各設定を行ってください 実際に表示される画面と マニュアルの画面とが異なる場合があります BACREX-R は お客様の

PowerTyper マイクロコードダウンロード手順

FutureWeb3サーバー移管マニュアル

1 POP 系の設定 重要事項 Windows10 のメールアプリで CCNet のメールを利用する場合 以下の点にご注意ください Windows 10 に標準でインストールされている メール アプリは 弊社のメール方式 (POP) に対応はしておりますが 本マニュアル制作時点 ( バージョン 17

不正送金対策 フィッシング対策ソフト PhishWall( フィッシュウォール ) プレミアム のご案内 広島県信用組合では インターネットバンキングを安心してご利用いただくため 不正送金 フィッシング対策ソフト PhishWall( フィッシュウォール ) プレミアム を導入しました 無料でご利用

第5回 マインクラフト・プログラミング入門

PC にソフトをインストールすることによって OpenVPN でセキュア SAMBA へ接続することができます 注意 OpenVPN 接続は仮想 IP を使用します ローカル環境にて IP 設定が被らない事をご確認下さい 万が一仮想 IP とローカル環境 IP が被るとローカル環境内接続が行えなくな

Hik-Connect アカウントにデバイスを追加する方法ユーザーは Hik-Connect APP ウェブポータル ivms4500 アプリまたは ivms クライアント経由で Hik-Connect 機能を有効にすることができます 注 : iv

目次 第 1 章概要....1 第 2 章インストールの前に... 2 第 3 章 Windows OS でのインストール...2 第 4 章 Windows OS でのアプリケーション設定 TP-LINK USB プリンターコントローラーを起動 / 終了するには

Shareresearchオンラインマニュアル

インターネット EDI システムを使用する前の準備 目次 動作環境について... 2 Internet Explorer7.0 / 8.0 をご利用の場合の設定方法... 3 [1] インターネット EDI システムを利用するための標準的な設定... 3 [2] ブラウザ型で帳票を利用する場合に必要

SMB送信機能

Microsoft Word - FTTH各種設定手順書(鏡野地域対応_XP項目削除) docx

Pocket WiFi LTE (GL04P) ソフトウェア更新マニュアル パソコン ipad 編 Version2 10

. はじめに はじめに みなと外国為替 WEBをご利用いただくにあたり ブラウザ ( インターネットに接続するソフト ) の設定作業は原則不要ですが お客さまのご利用環境によっては ブラウザの設定が必要となる場合があります お客さまの状況にあわせて手順をご確認ください ブラウザの設定を行う前にお客さ

はじめに (1) フィッシング詐欺 ( フィッシング攻撃 ) とは フィッシング詐欺とは インターネットバンキング ショッピングサイト等の利用者のアカウント情報 (ID パスワード等 ) や クレジットカードの情報等を騙し取る攻撃です 典型的な手口としては 攻撃者が本物のウェブサイトと似た偽のウェブ

アルファメールプレミア 移行設定の手引き Outlook2016

手順 2 右下に表示される [ すべてのアプリ ] をクリックします 手順 3 アプリ一覧画面に切り替わるので その中に Windows Live Mail があるかどうか確認します Windows Live Mail が 一覧にあれば P7 の 登録手順 4 にすすんでください 一覧になければ P

はじめに はじめに 本書について本書はオールインワン認証アプライアンス NetAttest EPS と ELECOM 社製 L2 スイッチ EHB-SG2B シリーズおよび EHB-SG2B-PL シリーズの IEEE802.1X EAP-TLS/EAP-TLS+ ダイナミック VLAN 環境での接

wdr7_dial_man01_jpn.indd

SAMBA Stunnel(Mac) 編 1. インストール 1 セキュア SAMBA の URL にアクセスし ログインを行います xxxxx 部分は会社様によって異なります xxxxx 2 Mac OS 版ダウンロー

動作環境 ( 閲覧パソコン ) 新規でご利用いただく場合 : 項目条件対応 OS Windows 7 / 10 対応 Web ブラウザ Internet Explorer 11 / Google Chrome / Mozilla Firefox 但し Google Chrome のリビジョンによって

Microsoft Word - シャットダウンスクリプトWin7.doc

LTE WiFi USBドングル ソフトウェアの更新手順

目次 1. はじめに 2 2. インターネットからの不正アクセス防止セキュリティ対策と注意点 3 対策 1 : プライベート IPアドレスの使用対策 2 : 管理者パスワード変更対策 3 : ユーザー認証の設定対策 4 : IPアドレスのフィルタリング 3. シャープデジタル複合機のセキュリティ設定

ESET Smart Security 7 リリースノート

目次 1. はじめに... 1 動作環境... 1 その他 他の人が利用する ID を発行したい... 2 ユーザー ID 作成を作成しましょう パソコンのデータを自動でアップロードしたい... 4 PC 自動保管機能を使用してみましょう 不特定多数の

Windows 7ファイル送信方法 SMB編

システム利用前の準備作業2.1 準備作業の流れ 準備作業の流れは 以下のとおりです 2必要なものを用意する 2.2 パソコンインターネット接続回線 E メールアドレス 2.2-(1) 2.2-(2) 2.2-(3) 当金庫からの送付物 2.2-(4) パソコンの設定をする 2.3 Cookie の設

特定健診ソフト クイックインストールマニュアル

文書番号: NWT KO001

AirPrint ガイド Version A JPN

建築業務管理システム 補足マニュアル Internet Explorer11 設定ガイド (Windows10 用 )

「みえますねっと年間パック」のはじめかた・BB-HCMシリーズ

Transcription:

IPA テクニカルウォッチ 増加するインターネット接続機器の不適切な情報公開とその対策 ~ SHODAN を活用したインターネット接続機器のセキュリティ検査 ~

目次 はじめに... 1 本書の対象読者... 1 注意事項... 1 1. オフィス機器とサーバー機能... 2 1.1. オフィス機器のサーバー機能... 2 1.2. オフィス機器の問題と脅威... 4 2. インターネット接続機器検索サービス SHODAN... 6 2.1. SHODAN とは... 6 2.2. SHODAN の仕組み... 7 2.3. SHODAN で検索可能な情報... 8 3. SHODAN を使用した自組織の検査... 11 4. 実施すべき対策... 15 5. おわりに... 17

はじめに インターネットに接続されている機器の数は年々増加している 2013 年 12 月のガートナー社の発表 1によると PC タブレット スマートフォンを除いたインターネットに接続されている モノのインターネット (IoT) の数は 2009 年の 9 億から 2020 年には 260 億に達すると予測されている この IoT の存在は数年前より世界的に注目されており それに伴いオフィス内の IoT つまりネットワークに接続している機器 ( 以下 オフィス機器 ) のセキュリティ対策の必要性も注目されている 日本においても 2013 年 11 月 学術機関などの複合機内の機密情報をインターネットから閲覧できると報道機関が指摘 2し 複合機を含めたオフィス機器のセキュリティが大きな話題となった オフィス機器の多くはサーバー機能を有しており ネットワークに接続することで PC やスマートフォンなどから機器を利用できる 一方で 不適切にインターネットに接続されているオフィス機器が 格好の攻撃ターゲットとなっている現状がある その中 インターネットに接続されている機器を検索できるサービス SHODAN が 2009 年に登場したことによって 攻撃者による攻撃ターゲットの機器の発見が容易となったため より適切な対策が管理者に求められる状況となっている 本書では オフィス機器のサーバー機能と SHODAN について解説している PC と同様にオフィス機器にもセキュリティ対策が必要であるという理解を促し インターネットに不適切に公開している機器がないか管理者自身が SHODAN を用いて検査することで 適切にオフィス機器が保護されることを期待する なお 本書の内容は オフィス機器に限定されるわけではなく インターネット接続機能を有する情報家電や制御システム機器にも適用可能なものである 本書の対象読者 ネットワーク管理者 オフィス機器をはじめとしたネットワーク接続機能を有する機器の管理者 注意事項 SHODAN を用いた調査を実施する場合 SHODAN の検索結果に他組織のサーバーや機器が表示される可能性があります 表示された他組織のサーバーや機器にはアクセスを行わないでください 本書の手法を検証した結果を悪用して発生するいかなる被害や損害について IPA はなんら責任を負うものではありません 1 Gartner Says the Internet of Things Installed Base Will Grow to 26 Billion Units By 2020 http://www.gartner.com/newsroom/id/2636073 2 住民票 答案 複合機の蓄積データ 公開状態に http://www.yomiuri.co.jp/kyoiku/news/20131107-oyt8t00445.htm 1

1. オフィス機器とサーバー機能 組織のネットワーク内にはさまざまなオフィス機器が存在する 複合機などの大型の機器やウェブカメラのような小型の機器も ネットワーク上は 1 台 1 台がサーバーとして機能している そのため 業務用のウェブサーバーや PC などと同様に オフィス機器も導入前に機能や動作を理解した上で ネットワークに接続する必要がある 図 1-1: 組織内に存在するさまざまな機器 1.1. オフィス機器のサーバー機能 オフィス機器には ウェブサーバーや PC と同様に Linux や BSD 系 UNIX Windows 等の OS が カスタマイズされて搭載されており その OS 上でサーバーアプリケーションが稼動している 多くの機器では 機器の設定変更を行うインターフェースとしてウェブサーバー機能が搭載されている その他にファイル共有サーバー機能 (FTP SMB) メールサーバー機能を搭載する機器も存在している これらの機能を利用して ブラウザ経由で設定を変更や オフィス機器で処理したデータの取り出しなどに用いられている 2

図 1-2: オフィス機器へのアクセス ( イメージ ) 表 1-1 にオフィス機器が持つサーバー機能を示す (IPA が実機や製品サイトで確認した結果を参考までに例示 ) 中でも ウェブインターフェースを有した機器が利便性の観点からも着実に増加している また 機器にサーバー機能が搭載されることにより 従来想定されていなかったデータの漏えい 不正アクセス等の新たな脅威が顕在化している # ネットワーク機器タイプ 複合機 1 ( プリンター スキャナー FAX) 表 1-1: サーバー機能を持つ機器と脅威 利用できる機能ウェブファイル共有メールその他 事務用機器 2 ネットワーク対応 HDD(NAS) 情報管理機器 3 デバイスサーバー情報管理機器 (USBサーバー プリンタサーバー) 4 カメラ (IP カメラ ウェブカメラ ) 通信機器 5 テレビ会議システム通信機器 Telnet/SSH 6 ブロードバンドルータ通信機器 7 デジタル液晶テレビ家電 8 ブルーレイディスクレコーダーハードディスクレコーダー 家電 脅威 スキャンデータや印刷データの漏えい設定情報の漏えいや設定変更 DoS 攻撃の踏み台 DNS 保存情報の漏えい Telnet/SSH 設定情報の漏えいや設定変更保存情報の漏えい設定情報の漏えいや設定変更撮影情報の漏えい設定情報の漏えいや設定変更会議内容の漏えい設定情報の漏えいや設定変更 DNS DoS 攻撃の踏み台 NTP 保存情報の漏えい Telnet/SSH 設定情報の漏えいや設定変更撮影情報の漏えい設定情報の漏えいや設定変更保存情報の漏えい設定情報の漏えいや設定変更 3

1.2. オフィス機器の問題と脅威 オフィス機器の多くは 購入してすぐ利用できるように設定されて出荷されているため 初期設定ではログイン認証が設定されていない場合や利用しない不要な機能が有効となっている場合があることを 認識していない管理者も多い さらに その機器をネットワーク機器で保護せずに初期設定のままインターネットに接続することで 利用者だけでなく攻撃者からもアクセス可能な状態となり セキュリティ事故が発生する可能性がある 以下にオフィス機器を初期設定のままインターネットに接続することによって生じる脅威を示す 機密情報の漏えい複合機など機器の多くは ウェブサーバーを内蔵し ウェブインターフェースにより トナーの残量確認やスキャナーで読み取ったデータを取り出すなどの管理機能を有している 管理機能へのアクセスは ID パスワードによる認証により制限している しかし 認証機能が無効な状態やパスワードが工場出荷時の状態のままで導入 設置すると 攻撃者に不正アクセスを許してしまい 電子データが持ち出されることが想定される 中でも複合機内に個人情報や業務機密を含む電子データが保存されていた場合 重大な情報漏えい事故に発展してしまう また 多くのウェブカメラやテレビ会議システムには ブラウザで映像を確認できる機能が内在している インターネットからのアクセスを制限していないネットワークにこれらの機器を配置することで 遠隔からの不正アクセスを許してしまい 在席状況や重要な会議の内容が外部に漏れる危険性がある 問題を引き起す要因の根底には 機器にウェブサーバーが搭載されているなどの仕様に 管理者や利用者が気づいていないため その仕様に起因する脅威に認識が及ばないことが挙げられる ( 実際に発生した事例 ) 2013 年 11 月 日本国内の複数の大学の複合機のスキャナーや FAX で読み取った情報が インターネット上で誰でも閲覧できる状態で公開されていることを一部の報道機関が報じた 公開されていた情報には個人情報を含む機密性の高い情報が含まれていた 設定情報の変更ブロードバンドルーターをはじめとしたネットワーク機器やウェブカメラなどの機器には画面やキーボードが無いため ウェブインターフェースによって PC から設定変更が行える 攻撃者は パスワード推測や辞書攻撃等により不正ログインする 4

ことで 設定変更を試みる 企業のネットワーク機器が攻撃に遭った場合 不正な ルーティング設定により利用者を攻撃者が用意したサーバーに誘導することなどが 行われる ( 実際に発生した事例 ) 2013 年 一部のブロードバンドルーターに存在する脆弱性が悪用され インターネットプロバイダに接続するための認証 ID とパスワードが不正に取得され それらを変更される事例が相次いで発生した 3 この脆弱性およびその対策情報は 2012 年に公表されており 利用者はブロードバンドルーターを最新のファームウェアにアップデートする対応を行う必要があったが 放置されているルーターが多かった このように PC 以外の機器は アップデートが自動配信される Windows などと異なり ユーザーが機器のアップデートの存在を知る機会が少なく 脆弱性が放置されがちである 攻撃の踏み台一部のオフィス機器では DNS 4 や NTP 5 などのサービスが起動している これらのサーバー機能が攻撃の踏み台に悪用され サービス妨害攻撃に加担させられる可能性がある また 複合機などのメール送信機能を有した機器は スパムメール送信の踏み台に悪用される可能性もある ( 実際に発生した事例 ) 2004 年 100 台以上の国産のハードディスクレコーダーからブログサイトに対して大量の書き込み ( コメントスパム ) が行われた 6 特定機種のハードディスクレコーダーが HTTP プロキシ に関して脆弱な仕様となっており 攻撃の踏み台に悪用された 2000 年台に製造された機器の多くは セキュリティに配慮しない設計が施され 一般的に使用するにあたって不必要な機能が有効になっていると言っても過言ではない これらの古い機器が現在も稼動していることが 攻撃者に悪用されてしまう大きな要因となっている 3 インターネット接続サービス OCN における認証パスワードを不正に変更された事象について http://www.ntt.com/release/monthnews/detail/20130626.html 4 Domain Name System (DNS) はドメイン名と IP アドレスとの関連付けに用いられるサービス 5 Network Time Protocol (NTP) は機器内の時計を正しい時刻に設定するために用いられるサービス 6 ネット家電に潜むセキュリティホール http://www.itmedia.co.jp/lifestyle/articles/0409/24/news025.html 5

2. インターネット接続機器検索サービス SHODAN オフィス機器は 2000 年代前半ごろから普及が始まり ネットワーク対応機種の増加や インターネットの普及も伴って 不用意にインターネットに接続されるオフィス機器の数が年々増加している この様な状況の中 2009 年に SHODAN というインターネットに接続している機器の検索システムが登場した 本章では 登場以来注目され続けている SHODAN について解説する 2.1. SHODAN とは SHODAN は 2009 年に John Matherly 氏によって開発された検索エンジンである SHODAN には ウェブサーバーだけでなく オフィス機器 情報家電 信号機や発電所の制御機器なども含めて インターネット接続されているさまざまな機器約 5 億台の情報がデータベースに格納されており 利用者はその機器の情報をウェブで検索できる 図 2-1:SHODAN のトップページ 実際に SHODAN を使用すると 認証が弱い機器や古いバージョンのまま運用されている機器など セキュリティに問題がある機器を見つけることができる 昨今の研究者による発表や報道では 攻撃の足がかりにされる SHODAN の存在は深刻な脅威であるという声が大きい しかし SHODAN の存在有無に関わらず 適切にネットワークで保護してい 6

れば 被害が発生することはない 逆に組織内のチェックに SHODAN を用いることで 不適切な設定をしている機器を外部から発見し 早期に問題点を対処することで攻撃の糸口を断ち切ることができる 表 2-1 に示す通り SHODAN に登録されている約 5 億台の機器うち約 3% の 1 千 4 百万台が日本国内に存在する機器である SHODAN にはさまざまなサーバー機能を持つ機器が登録されている 表 2-1:SHODAN に登録されている日本の機器の台数と代表的なポート (2014/2/12 時点 ) 台数 ( サーバー PCを含む ) SHODANに登録されている機器 483,708,140 日本として登録されている機器 14,016,602 ポート80 番 (HTTP) 3,293,873 ポート25 番 (SMTP) 957,961 ポート21 番 (FTP) 553,202 ポート8080 番 (HTTP) 290,971 ポート53 番 (DNS) 263,009 ポート123 番 (NTP) 254,728 ポート137 番 (NetBIOS) 151,215 ポート445 番 (SMB) 20,513 2.2. SHODAN の仕組み SHODAN は ポートスキャン 7 とバナー 8 の調査により インターネットに接続されてい る機器情報を収集して公開しているウェブサイトである 以下の流れで情報が収集され公 開される SHODAN の情報収集の流れ 1 インターネット上のあらゆる IP アドレスとポート番号を推測して接続要求を次々に送信 ( クローリング ) 2 存在するサーバーから応答メッセージ ( バナー ) を受信 3 応答メッセージ ( バナー ) からサーバーや機器の付加情報を抽出 4 データベースに情報を保存 5 情報検索機能を備えたウェブサービスで公開 7 サーバーへ手当たり次第アクセスを試みてそれに応答する機器をあぶりだす古典的な手法である 8 サーバーからの応答に含まれる情報であり サービスや製品などを特定できるデータである 7

テレビ会議システム 研究者 ハードディスクレコーダー 攻撃者 デジタル液晶テレビ 管理者 複合機 攻撃者 インターネット上の機器 SHODAN SHODAN 利用者 図 2-2:SHODAN の情報収集と公開のイメージ ポートスキャンにより インターネットに接続されている機器を発見する場合 闇雲にリクエストを送信する必要があるため効率が悪い また 大量にスキャンするには ツールやプログラムによって自動化する必要があり ある程度の技術が必要となる 一方で SHODAN を利用すれば 自身でポートスキャンを行わなくても 不用意に公開された機器を ブラウザを使って容易に発見することができる 2.3. SHODAN で検索可能な情報 SHODAN では 取得したデータに位置情報などを付加して保存しており SHODAN の利用者は 表 2-2 で示すような情報に対して 多様な検索オプションや API などを用いて 高度な検索を行うことが可能となっている 一部の機能を利用するには 無料のユーザー登録をしてからログインする必要がある また 有償アカウントや有償オプション ( アドオン ) を購入することで 一部の機能を有効にすることができる 検索対象 検索対象の情報は IP アドレスとバナーを元に調査した情報が格納されている 8

表 2-2:SHODAN で検索可能な情報 # 検索対象 補足 1 IPアドレス 2 ホスト名 FQDN( 完全修飾ドメイン名 ) 3 ドメイン保有者情報 Whois コマンド ( インターネット上でのドメイン名や IP アドレスなど検索するためのコマンド ) の結果 4 位置情報 国名都市名緯度 経度 5 ポート番号プロトコル名 6 OS 7 バナー情報 バナーに含まれる特長的な文字列 ( 製品名やバージョン情報 デフォルトパスワードの使用や匿名接続可能など ) 8 SHODAN への登録日指定した日より前や後に登録された機器を検索可 上記のうち バナー情報が SHODAN にとって重要な意味を持っている 一般的に 機器のバナー情報には 機器やサービスなどに関する多くの情報が含まれており 機器やサービスおよびその状態によってバナーの内容が異なる インターネット上をスキャンして得られたバナー情報を SHODAN を用いて検索できることが セキュリティに問題がある機器を発見できる仕掛けとなっている 以下に実際に検索した結果を例示する 検索結果に表示されるバナーの例 バナーにデフォルトパスワードが表示されている例バナーには機器やサービスの情報が表示される 図 2-3 は SHODAN の検索結果にネットワーク機器のバナーが表示された例である 特定の機器のバナーには Telnet とウェブサービス (HTTP HTTPS) が有効であることや その初期ユーザー名 admin と初期パスワード password が表示されている この内容は管理者に向けたバナー情報であるが バナー情報は誰でも閲覧できるため 結果として攻撃者にもパスワードが知られかねない これは一例であり 他にも同様に バナー情報によって攻撃者にヒントを与えてしまう機器が多数存在する 9

IP アドレス バナー情報 SHODAN への登録日 ホスト名 ユーザー名と初期パスワード 図 2-3: バナーにデフォルトパスワードが記載されている例 上記の通り SHODAN は インターネット上の約 5 億もの機器が応答するバナー情報を収集して検索できるようにしたウェブサービスである これはインターネット技術を応用したサービスであるため SHODAN でなくても技術力があれば実現可能であることを理解しなければならない ネットワーク管理者は SHODAN の存在や悪用を問題視するよりも 逆に SHODAN を自組織の機器の確認に活用することが望ましい 10

3. SHODAN を使用した自組織の検査 前章までで解説した通り 管理者は SHODAN を用いることで 把握している以外の機器がインターネット上に公開されていないか容易に確認することができる 本章では SHODAN の利用方法と SHODAN を使った自組織のネットワーク環境の検査について ドメイン名と IP アドレスの 2 種類の検索方法を使った手順について紹介する SHODAN の利用方法 1 SHODAN のトップページにアクセスする http://www.shodanhq.com/ 図 3-1: ブラウザの入力バー 2 画面上部の検索フォームに検索文字列を入力し Search ボタンを押す 図 3-2:SHODAN 検索フォーム 3 検索結果が表示される 4 表示結果と把握管理している機器情報 ( 管理リストなど ) と差異がないか 把握外の機器が無いか 利用していないサービスが公開されているかなど設定に不備が無いかを確認する 11

利用例 1: ドメインによる検索 (IPA のドメインを検索した例 ) 1 SHODAN の検索フォームに自組織のドメイン hostname:ipa.go.jp と入力し Search ボタンをクリックする 図 3-3: hostname:ipa.go.jp と入力 2 以下の検索結果が表示される IP アドレス バナー情報 40 件ヒット SHODAN への登録日 図 3-4: hostname:ipa.go.jp 検索結果の一部 3 検索結果から自身が管理している機器の情報を確認する 確認の結果 40 件のインターネット接続機器の情報が得られた バナー情報にオフィス機器と特定できる情報が確認できなかったため オフィス機器が不適切に公開されていないと判断できる 上記に例示したホスト名での検索は SHODAN へのログインは不要である 次にユーザー登録が必要となる IP アドレスによる検索例を紹介する 12

利用例 2:IP アドレスによる検索 (IP アドレス 162.159.244.38 を検索した例) 1 IP アドレスでの検索は SHODAN にログインする必要があるため 無料でアカウントを作成しログインする Google や Microsoft の Windows Live アカウントなどでもログインが可能である 図 3-5:SHODAN のログイン画面 2 画面上部の検索フォームに検査したいインターネットの IP アドレス net:162.159.244.38 と入力し Search ボタンをクリックする もし自組織のインターネットの IP アドレス ( グローバル IP アドレス ) が不明である場合 契約しているインターネットサービスプロバイダ (ISP) への問い合わせや 接続元 IP アドレスが確認できるウェブサービスを利用することで確認できる 図 3-6: net:162.159.244.38 と入力 net:162.159.244.0/24 のように検索文字列はネットワークアドレスを指定 することができる このように検索することで管理している IP アドレス帯を検 索することもでき その結果 管理外の機器が見つかる場合もある 13

3 検索結果が表示される 3 件ヒット 3 件ヒット IP アドレスごとのサービス一覧へのリンク 図 3-7: net:162.159.244.38 検索結果の一部 4 検索結果の情報を確認する 検索結果に表示された 3 件はウェブサーバーであり 検索結果からオフィス機器は見つからなかった ( 補足 : この利用例で入力した 162.159.244.38 は SHODAN の IP アドレス ) なお SHODAN にログインしている場合 検索結果に表示されるリンクをクリックすることで 同じ IP アドレスのサーバー上で他に複数のサービスが提供されていないか一覧で確認することができる 以上が SHODAN を使用した自組織のインターネット接続サーバーや検査手順である この手順により 自組織がインターネット側からどう見えているかを確認することができる 上記の例では問題が発見されなかったが 検索結果に自組織の把握管理している以外の機器が表示された場合 あるいは利用しない機能が公開されていた場合 管理方法や機器の設定を見直し 必要に応じて対策する必要がある 14

4. 実施すべき対策 オフィス機器のセキュリティ対策は 攻撃者が SHODAN を検索して外部からアクセス してくることを意識して 以下に示す 3 つの対策を行うことが重要である 自組織の運用 管理の参考にしていただきたい (1) 管理の明確化ネットワーク管理者がインターネット接続機器を統括して把握できるように 下記の対応を実施する オフィス機器のネットワーク接続に関して ルールを定め 内部に周知させる オフィス機器の管理者を明確する SHODAN やペネトレーションツールの活用などによって 定期的にネットワークを外部から検査し 管理外の機器が接続されていないことを確認する (2) ネットワークによる保護外部からの不正アクセスやリモートからの内部攻撃に備え 不正から防御できるように下記のようなネットワーク構成を行う 必要性がない場合は オフィス機器を外部ネットワーク ( インターネット ) に接続しない 外部ネットワークとオフィス機器を接続する場合には 原則ファイアウォールやブロードバンドルーターを経由させ 許可する通信だけに限定する ネットワークセグメントを適切に分離し 管理機能へのアクセスを制限する 又は アクセス元の IP アドレスを限定し 管理機能へのアクセスを制限する (3) オフィス機器の適切な設定オフィス機器をネットワークに接続する前にマニュアルを読み 以下を確認して工場出荷時の設定から適切な設定に変更する 使用しない機能をオフにする 管理者用アカウント / パスワードを工場出荷時から変更する ソフトウェアのアップデート ( 機器の製品ページを確認し ソフトウェアを最新の状態に更新する ) 15

図 4-1: オフィス機器のセキュリティ対策 16

5. おわりに 本書では オフィス機器のインターネット接続に伴うセキュリティ脅威や SHODAN を使用した検査手順について紹介した 近年 ネットワーク接続を伴う機器は増加傾向にあり ネットワーク管理者は オフィス機器をはじめとしたインターネットに接続できる機能を有する機器の機能構造や ネットワークに接続することにより発生する脅威を理解した上で 対策に繋げることが重要である また サーバーやさまざまな機器の入替えにより ネットワーク環境は随時変化していく そのため 定期的に SHODAN やペネトレーションツールを使い 対策状況を外部からチェックすることも必要である また 昨年 2013 年 11 月 複合機内の情報がインターネットから誰でも閲覧できてしまう問題が注目されたが インターネットからの攻撃だけでなく LAN 内からの内部犯や標的型の攻撃によって機密情報を閲覧されることも想定して対策を検討することを IPA は強く推奨する 最後に 本書が機器の運用に活用され 組織のセキュリティ強化の一助になることを期 待している 17

IPA テクニカルウォッチ 増加するインターネット接続機器の不適切な情報公開とその対策 ~ SHODAN を活用したインターネット接続機器のセキュリティ検査 ~ [ 発行 ] 2014 年 2 月 27 日 [ 著作 制作 ] 独立行政法人情報処理推進機構技術本部セキュリティセンター [ 執筆者 ] 中西基裕大森雅司関口竜也

2026 © docsplayer.net プライバシー | 利用規約 | フィードバック