HOMEIPAについて新着情報IPAテクニカルウォッチ 「増加するインターネット接続機器の不適切な情報公開とその対策」の公開

本文を印刷する

IPAについて

IPAテクニカルウォッチ 「増加するインターネット接続機器の不適切な情報公開とその対策」の公開

「SHODAN(*1)」を活用し、複合機・ネットワーク対応ハードディスク(*2)等の確認を

2014年2月27日
独立行政法人情報処理推進機構

 IPA(独立行政法人情報処理推進機構、理事長:藤江 一正)は、オフィス機器、家電製品のインターネット接続に伴う新たな脅威や、不用意な外部公開をSHODANで確認する手順をまとめたレポート「増加するインターネット接続機器の不適切な情報公開とその対策」を2014年2月27日からIPAのウェブサイトで公開しました。
 URL:http://www.ipa.go.jp/security/technicalwatch/20140227.html

 近年、ウェブサーバ機能やファイル共有機能等のインターネット技術を搭載したオフィス機器や家電製品が増えており、インターネットに接続されている機器は、2009年の9億台から2020年には260億台に達すると予測されています(*3)。そのため組織のネットワークや機器の管理者は、インターネットから機器への不要な通信を遮断するか、適切な設定でインターネットに接続するなど、安全な運用の継続が求められています。

 そうした中、一部の組織内の複合機でスキャンしたデータをインターネットから閲覧できるという、2013年11月の報道をきっかけに(*4)、「SHODAN」というウェブサービスが注目されました。「SHODAN」は、インターネットに接続する機器を検索できる便利な機能がある一方で、攻撃者がログイン等の認証設定が不適切な機器や脆弱性が残る古いバージョンの機器などを発見するために利用していると言われています。しかし、オフィス機器に関連したセキュリティ事故の原因の多くは、管理者や利用者側がインターネットに公開している事実を十分に認識できていないことにあり、適切に機器が設定されていれば、本来問題は発生しにくいと考えられます。

表1:機器のサーバー機能と脅威

 重要なのは"知らずに不適切な設定でインターネット上に公開している自組織の機器を発見し、速やかに対処し、攻撃の糸口を断ち切ること"です。そこでIPAでは自組織のインターネット接続機器を「SHODAN」を活用し検査する方法と実施すべき対策をまとめた技術レポートを公開しました。この検査方法は、従来のツールを使った検査方法や外部への検査の委託に比べて、PCのブラウザで簡易に実施できるのが利点です。

 本レポートが、オフィス機器の安全な運用に活用され、組織・企業全体のセキュリティ強化の一助になることを期待しています。

脚注

(*1)インターネットに接続されたサーバー、ルーター、IP電話等の機器を検索できるウェブサービス。

(*2)ネットワーク上でファイルの共有が可能なハードディスク、Network Attached Storage(NAS) 。

(*3)Gartner Says the Internet of Things Installed Base Will Grow to 26 Billion Units By 2020
  http://www.gartner.com/newsroom/id/2636073 別ウィンドウで開</p><br />
<p><a id=
(*4)住民票・答案…複合機の蓄積データ、公開状態に
  http://www.yomiuri.co.jp/kyoiku/news/20131107-OYT8T00445.htm 別ウィンドウで開</p>
<h3>レポートのダウンロード</h3>
<ul class=

テクニカルウォッチ全文のダウンロード

テクニカルウォッチ概要のダウンロード

本件に関するお問い合わせ先

IPA 技術本部 セキュリティセンター 大森/中西

Tel: 03-5978-7527 Fax: 03-5978-7518 E-mail: 電話番号:03-5978-7591までお問い合わせください。

報道関係からのお問い合わせ先

IPA 戦略企画部 広報グループ 横山/白石

Tel: 03-5978-7503 Fax: 03-5978-7510 E-mail: 電話番号:03-5978-7503までお問い合わせください。