ネットワーク機器の利用における セキュリティ対策 独立行政法人情報処理推進機構技術本部セキュリティセンター大道晶平
内容 インターネットに接続することについて ポイントを解説 被害事例を紹介 対策について考える 2
繋がる機器 国境を越えて繋がる あまり意識をしないまま 様々な機器がインターネットに接続されている これらの機器が攻撃のターゲットになってきている 3
インターネットに接続するイメージ ~ 外部からの接続を拒否 ~ ポイント インターネットの住所 ( グローバルIP) には誰でも訪問が可能 本駒込二丁目 28 番 8 号 202.122.141.45 ドメイン (ex. ipa.go.jp) を取得していなくてもアクセスされる 玄関 192.168.0.1 外部から内部の機器へのアクセスを許可しなければ侵入されない 太郎 192.168.0.2 カメラ 192.168.0.3 4
インターネットに接続するイメージ ~ 外部からの接続を許可 ~ ポイント 外部からの訪問者を招き入れたい場合がある 本駒込二丁目 28 番 8 号 202.122.141.45 応接間玄関 192.168.0.3 192.168.0.1 ネットワーク機器の設定で内部の機器へのアクセスを許可できる 制限しなければ誰でも訪問可能 太郎 192.168.0.2 5
目的 世界を見れるということは 世界から見られる可能性がある 機器の脆弱性ではなく 使い方の問題 改めて インターネットに接続している ことの意識を変える 6
被害事例 case.1 複合機 2016 年 1 月に 複数の学術機関において複合機がインターネットからアクセス可能となっていたと報道 26 校が該当 メールアドレスや文書のファイル名等が閲覧できた 2013 年に続き IPA で再度注意喚起を実施 http://www.asahi.com/articles/ashdd45k9hddptil00b.html https://www.ipa.go.jp/security/ciadr/vul/20160106-printer.html 7
被害事例 case.2 ウェブカメラ 海外のサイトにおいてインターネットに公開されているウェブカメラの一覧が掲載されていると報道 医療機関や製造会社に設置された防犯カメラも含まれていた IDやパスワードが設定されていない機器が確認されている 外部からアクセス可能なウェブカメラについては2015 年 3 月にも報道されている ウェブカメラ一覧 http://www.sankei.com/west/news/160330/wst1603300055-n1.html http://www.asahi.com/articles/ash3654c1h36ptil00w.html 8
被害事例 case.3 ルータ ルータが乗っ取られ DDoS 攻撃等への悪用が可能になっていると報道 全てのルータでリモートアクセスが可能 ほぼ全てのルータが初期パスワードを変更していない LAN 内の他の機器にアクセスされる可能性もある 内部だけでなく 外部への攻撃にも悪用される http://japan.zdnet.com/article/35064561/ 9
ここで素朴な疑問 ドメイン (ex. ipa.go.jp) を取得してないから大丈夫? 自組織のグローバル IP アドレスなんて誰も興味ないから大丈夫? 有名ではない機器を使用しているから大丈夫? このような認識の方にこそ聴いていただきたい! 10
素朴な疑問への回答 ドメイン (ex. ipa.go.jp) を取得してないから大丈夫? グローバル IP アドレスならアクセスされる 自組織のグローバル IP アドレスなんて誰も興味ないから大丈夫? 世界中の機器を調査したデータが公開されている 有名ではない機器を使用しているから大丈夫? 適宜調査対象は追加される このような認識の方にこそ 容易に探せる ということを知ってただきたい! 11
インターネットに接続された機器を検索するエンジンの存在 Shodan というサービスでインターネットに接続された機器の検索が可能 Googleでもウェブカメラの検索といった類似の検索は可能 12
検索エンジンの活用 ~ 問題が存在する機器の探索 1~ MongoDBというデータベースソフトが不適切な設定のために外部からアクセス可能になっていると報道 Shodan で調査した結果 海外で投票者の情報を発見された ファイアウォールの製品に遠隔アクセスが可能な脆弱性が存在すると報道 検索エンジンを使用して 5 万台以上ががインターネットからアクセス可能と確認 1500 台以上がパッチを適用されていない http://www.itmedia.co.jp/enterprise/articles/1502/23/news141.html http://arstechnica.co.uk/security/2016/04/millions-of-mexican-voter-records-leaked-amazon-cloud/ http://www.securityweek.com/backdoors-not-patched-many-juniper-firewalls 13
検索エンジンの活用 ~ 問題が存在する機器の探索 2~ 米国でガソリンポンプの監視システムへの攻撃を確認したと報道 Shodan による調査の結果 米国で多数の監視システムがインターネット上に公開されていた 海外でトラックの通信機器にインターネットからアクセス可能だったと報道 Shodanによる調査で 数百の機器を確認した 多くの機器はアクセスに認証の必要がなかった http://blog.trendmicro.co.jp/archives/10922 http://news.softpedia.com/news/internet-connected-trucks-can-be-tracked-and-hacked-researcher -finds-501415.shtml 14
対策 ~ 管理の明確化 ~ 管理者を明確する ネットワーク接続のルールを定める 利用者に周知する ルールを定める 利用者 管理 周知 管理者 15
対策 ~ ネットワークによる保護 ~ 必要がない機器を外部ネットワークに接続しない 原則ファイアウォールやブロードバンドルータを経由させ 許可する通信を限定する 外部からの利用者やベンダーの保守員 利用者 悪意ある第三者 管理者 16
対策 ~ 適切な設定 ~ 管理者用のアカウント / パスワードを初期値から変更 ソフトウェアを最新の状態に更新する 外部からの利用者やベンダーの保守員 利用者 悪意ある第三者 管理者 17
まとめ 世界中から見られる可能性がある 攻撃者は 検索エンジンなどを利用して簡単にターゲットを探せる ネットワーク機器は正しく設定して利用する 高度な対策の前に まずは基本の対策を! 18
新試験はじまる! 情報セキュリティマネジメント試験 情報セキュリティの基礎知識から管理能力まで 組織の情報セキュリティ確保に貢献し 脅威から 継続的に組織を守るための基本的スキルを認定する試験 受験をお勧めする方 個人情報を扱う全ての方 業務部門 管理部門で情報管理を担当する全ての方 28 年度秋期試験実施時期 初回応募者約 2 万 3 千人!! 実施日 2016 年 10 月 16 日 ( 日 ) 申込受付 2016 年 7 月 11 日 ( 月 ) から 19
IT パスポート公式キャラクター上峰亜衣 ( うえみねあい ) プロフィール : マンガ https://www3.jitec.ipa.go.jp/jitescbt/html/uemine/profile.html iパス は ITを利活用するすべての社会人 学生が備えておくべき ITに関する基礎的な知識が証明できる国家試験です 20
21