HOME情報セキュリティ届出・相談・情報提供安心相談窓口だより

本文を印刷する

情報セキュリティ

安心相談窓口だより

第16-13-359号
掲載日:2016年 11月 25日
独立行政法人情報処理推進機構
技術本部 セキュリティセンター

安心相談窓口だより

ネットワークカメラや家庭用ルータ等のIoT機器(※1)は利用前に
必ずパスワードの変更を

一覧を見る

2016年10月、米国企業が大規模なDDoS攻撃(※2)を受ける被害が発生しました。報道によれば、「Mirai(ミライ)(※3)」というマルウェアに感染したネットワークカメラや家庭用ルータ等のIoT機器で構築されたボットネット(※4)による攻撃であったと見られています。

IoT機器の中には、その機器の利用時に必要となるユーザ名とパスワード(ログイン情報)として、“root”や“password”といった汎用的な単語を初期設定としている製品があります。「Mirai」は感染したIoT機器を踏み台にして感染拡大を図る際、このような初期設定に利用されるログイン情報で他のIoT機器に侵入を試みます。(※5)

そのため、利用しているIoT機器のログイン情報が初期設定のままであると「Mirai」の侵入を許し、感染してしまいます。つまり、冒頭の「Mirai」に感染したIoT機器による大規模なDDoS攻撃を引き起こした背景として、多くのIoT機器でログイン情報が初期設定のまま利用されていたと推察されます。

図1:ログイン情報が初期設定のままのIoT機器が狙われるイメージ
図1:ログイン情報が初期設定のままのIoT機器が狙われるイメージ

また、2016年1月には海外のウェブサイト上に、ネットワークカメラの映像が公開されていることが判明し、騒ぎになりました。

いずれの事案においても「IoT機器のログイン情報が初期設定のまま」であったことが主因と考えられます。マルウェアの感染被害を防ぐ、および情報漏えい(カメラ映像の意図せぬ公開等)を防ぐためにも、ネットワークカメラや家庭用ルータ等のIoT機器を利用する際には、必ず初期設定を変更してください。

なお、設定する際にはパスワードは安易なものは避け、可能な限り長く、複雑な設定にし、またパスワードを使い回さないことが重要です。(※6) こうしたパスワードの初期設定に関する方法は、たとえば大手メーカもネットワークカメラの推奨設定をウェブで公開(※7)する等の取り組みを行っています。

一方、IoT機器のログイン情報が初期設定のまま利用されることのないよう、IoT機器のセットアップの過程でパスワードの変更を促す等、IoT機器の開発、製造に携わる提供者による自助努力も望まれます。このようにIoT機器は今や、使いやすさだけでなく、利用者にとってのセキュリティ対策のしやすさといった配慮も求められています。

IPAではこのような被害を防ぐため適切なセキュリティ対策が施されたIoT機器が供給されるよう、提供者向けにデジタルテレビ、ヘルスケア機器、スマートハウス等のIoT機器のセキュリティ設計について解説した「IoT開発におけるセキュリティ設計の手引き(※8)」を公開しています。

 
(※1) 
IoT(Internet of Things):様々なモノがインターネットに接続し、情報をやり取りすること。
(※2) 
Distributed Denial of Service攻撃:ネットワークに接続する複数のコンピュータが特定のコンピュータに対して一斉に大量の通信を行うことで、サービスや機能を停止させようとする攻撃。
(※3) 
IoT機器に感染し、感染拡大を図りながらDDoS攻撃用のネットワークを形成するマルウェア。
(※4) 
外部からの命令で一斉にDDoS攻撃を仕掛ける等、遠隔操作が可能なマルウェアに感染した機器群。
(※5) 
Mirai 等のマルウェアで構築されたボットネットによる DDoS 攻撃の脅威
http://jvn.jp/ta/JVNTA95530271/
(※6) 
不正ログイン被害の原因となるパスワードの使い回しはNG
https://www.ipa.go.jp/security/anshin/mgdayori20160803.html
(※7) 
Panasonicビジネスソリューション サポート特設サイト
http://sol.panasonic.biz/security/netwkcam/special/fusei0.html
(※8) 
2016年5月12日公開:プレスリリース「IoT開発におけるセキュリティ設計の手引き」を公開
https://www.ipa.go.jp/security/iot/iotguide.html

更新履歴

2016年11月25日 掲載

本件に関するお問い合わせ先

情報セキュリティ安心相談窓口
 Tel: 03-5978-7509 Fax: 03-5978-7518
 E-mail: 電話番号:03-5978-7509までお問い合わせください。
 技術本部 セキュリティセンター 野澤 黒谷

※記載されている製品名、サービス名等は、各社の商標もしくは登録商標です。