情報セキュリティ
公開日:2016年11月25日
独立行政法人情報処理推進機構
技術本部 セキュリティセンター
ネットワークカメラや家庭用ルータ等のIoT機器(脚注1)は利用前に必ずパスワードの変更を
2016年10月、米国企業が大規模なDDoS攻撃(脚注2)を受ける被害が発生しました。報道によれば、「Mirai(ミライ)(脚注3)」というマルウェアに感染したネットワークカメラや家庭用ルータ等のIoT機器で構築されたボットネット(脚注4)による攻撃であったと見られています。
IoT機器の中には、その機器の利用時に必要となるユーザ名とパスワード(ログイン情報)として、“root”や“password”といった汎用的な単語を初期設定としている製品があります。「Mirai」は感染したIoT機器を踏み台にして感染拡大を図る際、このような初期設定に利用されるログイン情報で他のIoT機器に侵入を試みます。(脚注5)
そのため、利用しているIoT機器のログイン情報が初期設定のままであると「Mirai」の侵入を許し、感染してしまいます。つまり、冒頭の「Mirai」に感染したIoT機器による大規模なDDoS攻撃を引き起こした背景として、多くのIoT機器でログイン情報が初期設定のまま利用されていたと推察されます。
また、2016年1月には海外のウェブサイト上に、ネットワークカメラの映像が公開されていることが判明し、騒ぎになりました。
いずれの事案においても「IoT機器のログイン情報が初期設定のまま」であったことが主因と考えられます。マルウェアの感染被害を防ぐ、および情報漏えい(カメラ映像の意図せぬ公開等)を防ぐためにも、ネットワークカメラや家庭用ルータ等のIoT機器を利用する際には、必ず初期設定を変更してください。
なお、設定する際にはパスワードは安易なものは避け、可能な限り長く、複雑な設定にし、またパスワードを使い回さないことが重要です。(脚注6) こうしたパスワードの初期設定に関する方法は、たとえば大手メーカもネットワークカメラの推奨設定をウェブで公開する等の取り組みを行っています。
一方、IoT機器のログイン情報が初期設定のまま利用されることのないよう、IoT機器のセットアップの過程でパスワードの変更を促す等、IoT機器の開発、製造に携わる提供者による自助努力も望まれます。このようにIoT機器は今や、使いやすさだけでなく、利用者にとってのセキュリティ対策のしやすさといった配慮も求められています。
IPAではこのような被害を防ぐため適切なセキュリティ対策が施されたIoT機器が供給されるよう、提供者向けにデジタルテレビ、ヘルスケア機器、スマートハウス等のIoT機器のセキュリティ設計について解説した「IoT開発におけるセキュリティ設計の手引き(脚注7)」を公開しています。
(脚注1) IoT(Internet of Things):様々なモノがインターネットに接続し、情報をやり取りすること。
(脚注2) Distributed Denial of Service攻撃:ネットワークに接続する複数のコンピュータが特定のコンピュータに対して一斉に大量の通信を行うことで、サービスや機能を停止させようとする攻撃。
(脚注3) IoT機器に感染し、感染拡大を図りながらDDoS攻撃用のネットワークを形成するマルウェア。
(脚注4) 外部からの命令で一斉にDDoS攻撃を仕掛ける等、遠隔操作が可能なマルウェアに感染した機器群。
(脚注5) Mirai 等のマルウェアで構築されたボットネットによる DDoS 攻撃の脅威
(脚注6) 不正ログイン被害の原因となるパスワードの使い回しはNG
(脚注7) 2016年5月12日公開:プレスリリース「IoT開発におけるセキュリティ設計の手引き」を公開
IPAセキュリティセンター 情報セキュリティ安心相談窓口
URL
記載されている製品名、サービス名等は、各社の商標もしくは登録商標です。
2016年11月25日
掲載