Embed Size (px)
Citation preview
ネットワーク機器の利用におけるセキュリティ対策
独立行政法人情報処理推進機構
技術本部 セキュリティセンター
大道 晶平
Copyright © 2016 独立行政法人情報処理推進機構
内容
• インターネットに接続することについて
ポイントを解説
• 被害事例を紹介
• 対策について考える
2
Copyright © 2016 独立行政法人情報処理推進機構
繋がる機器
国境を越えて繋がる
3
• あまり意識をしないまま、様々な機器がインターネットに接続されている
• これらの機器が攻撃のターゲットになってきている。
Copyright © 2016 独立行政法人情報処理推進機構
インターネットに接続するイメージ~外部からの接続を拒否~
本駒込二丁目28番8号202.122.141.45
カメラ192.168.0.3
太郎192.168.0.2
玄関192.168.0.1
4
• ポイント
– インターネットの住所
(グローバルIP)には誰でも
訪問が可能
– ドメイン(ex. ipa.go.jp)を取得していなくてもアクセスされる
– 外部から内部の機器へのアクセスを許可しなければ侵入されない。
Copyright © 2016 独立行政法人情報処理推進機構
• ポイント
– 外部からの訪問者を招き入れたい場合がある
– ネットワーク機器の設定で内部の機器へのアクセスを許可できる
– 制限しなければ誰でも訪問可能
インターネットに接続するイメージ~外部からの接続を許可~
本駒込二丁目28番8号202.122.141.45
応接間192.168.0.3
太郎192.168.0.2
玄関192.168.0.1
5
Copyright © 2016 独立行政法人情報処理推進機構
目的
• 世界を見れるということは、世界から見られる可能性がある
• 機器の脆弱性ではなく、使い方の問題
6
改めて「インターネットに接続している」ことの意識を変える
Copyright © 2016 独立行政法人情報処理推進機構
被害事例 case.1 複合機
• 2016年1月に、複数の学術機関において複合機がインターネットからアクセス可能となっていたと報道
– 26校が該当
– メールアドレスや文書のファイル名等が閲覧できた
• 2013年に続き、IPAで再度注意喚起を実施
http://www.asahi.com/articles/ASHDD45K9HDDPTIL00B.htmlhttps://www.ipa.go.jp/security/ciadr/vul/20160106-printer.html 7
Copyright © 2016 独立行政法人情報処理推進機構
被害事例 case.2 ウェブカメラ
• 海外のサイトにおいてインターネットに公開されているウェブカメラの一覧が掲載されていると報道
– 医療機関や製造会社に設置
された防犯カメラも含まれていた
– IDやパスワードが設定されてい
ない機器が確認されている
• 外部からアクセス可能なウェブ
カメラについては2015年3月に
も報道されているウェブカメラ一覧
8http://www.sankei.com/west/news/160330/wst1603300055-n1.htmlhttp://www.asahi.com/articles/ASH3654C1H36PTIL00W.html
Copyright © 2016 独立行政法人情報処理推進機構
被害事例 case.3 ルータ
9
• ルータが乗っ取られ、DDoS攻撃等への悪用が可能になっていると報道
– 全てのルータでリモートアクセスが可能
– ほぼ全てのルータが初期パスワードを変更していない
– LAN内の他の機器にアクセスされる可能性もある
http://japan.zdnet.com/article/35064561/
内部だけでなく、外部への攻撃にも悪用される
Copyright © 2016 独立行政法人情報処理推進機構
ここで素朴な疑問
• ドメイン(ex. ipa.go.jp)を取得してないから大丈夫?
• 自組織のグローバル IP アドレスなんて誰も興味ないから大丈夫?
• 有名ではない機器を使用しているから大丈夫?
10
このような認識の方にこそ聴いていただきたい!
Copyright © 2016 独立行政法人情報処理推進機構
素朴な疑問への回答
• ドメイン(ex. ipa.go.jp)を取得してないから大丈夫?→グローバルIPアドレスならアクセスされる
• 自組織のグローバル IP アドレスなんて誰も興味ないから大丈夫?→世界中の機器を調査したデータが公開されている
• 有名ではない機器を使用しているから大丈夫?→適宜調査対象は追加される
11
このような認識の方にこそ「容易に探せる」ということを知ってただきたい!
Copyright © 2016 独立行政法人情報処理推進機構
インターネットに接続された機器を検索するエンジンの存在
• 「Shodan」というサービスで
インターネットに接続された
機器の検索が可能
• Googleでもウェブカメラの
検索といった類似の検索は
可能
12
Copyright © 2016 独立行政法人情報処理推進機構
検索エンジンの活用~問題が存在する機器の探索1~• MongoDBというデータベースソフトが不適切な設定
のために外部からアクセス可能になっていると報道
– Shodanで調査した結果、海外で投票者の情報を発見された
• ファイアウォールの製品に遠隔アクセスが可能な
脆弱性が存在すると報道
– 検索エンジンを使用して、5万台以上が
がインターネットからアクセス可能と確認
– 1500台以上がパッチを適用されていない
13
http://www.itmedia.co.jp/enterprise/articles/1502/23/news141.htmlhttp://arstechnica.co.uk/security/2016/04/millions-of-mexican-voter-records-leaked-amazon-cloud/http://www.securityweek.com/backdoors-not-patched-many-juniper-firewalls
Copyright © 2016 独立行政法人情報処理推進機構
検索エンジンの活用~問題が存在する機器の探索2~• 米国でガソリンポンプの監視システムへの攻撃を確認したと報道
– Shodanによる調査の結果、米国で多数の監視システムがインターネット上に公開されていた
• 海外でトラックの通信機器にインターネットからアクセス可能だったと報道
– Shodanによる調査で、数百の機器を確認した
– 多くの機器はアクセスに認証の必要がなかった
14
http://blog.trendmicro.co.jp/archives/10922http://news.softpedia.com/news/internet-connected-trucks-can-be-tracked-and-hacked-researcher-finds-501415.shtml
Copyright © 2016 独立行政法人情報処理推進機構
対策~管理の明確化~
• 管理者を明確する
• ネットワーク接続のルールを定める
• 利用者に周知する
管理者
利用者
15
管理 周知
ルールを定める
Copyright © 2016 独立行政法人情報処理推進機構
• 必要がない機器を外部ネットワークに接続しない
• 原則ファイアウォールやブロードバンドルータを経由させ、許可する通信を限定する
対策~ネットワークによる保護~
悪意ある第三者
外部からの利用者やベンダーの保守員
管理者
利用者
16
Copyright © 2016 独立行政法人情報処理推進機構
対策~適切な設定~
• 管理者用のアカウント/パスワードを初期値から変更
• ソフトウェアを最新の状態に更新する
悪意ある第三者
外部からの利用者やベンダーの保守員
管理者
利用者
17
Copyright © 2016 独立行政法人情報処理推進機構
まとめ
• 世界中から見られる可能性がある
• 攻撃者は、検索エンジンなどを利用して簡単にターゲットを探せる
• ネットワーク機器は正しく設定して利用する
18
高度な対策の前に、まずは基本の対策を!
Copyright © 2016 独立行政法人情報処理推進機構
新試験はじまる!情報セキュリティマネジメント試験
◆28年度秋期試験実施時期◆・実施日 2016年10月16日(日)
・申込受付 2016年7月11日(月)から
・個人情報を扱う全ての方・業務部門・管理部門で情報管理を担当する全ての方
◆受験をお勧めする方◆
初回応募者約2万3千人!!
情報セキュリティの基礎知識から管理能力まで、組織の情報セキュリティ確保に貢献し、脅威から継続的に組織を守るための基本的スキルを認定する試験
19
「iパス」は、ITを利活用するすべての社会人・学生が備えておくべきITに関する基礎的な知識が証明できる国家試験です。
ITパスポート公式キャラクター上峰亜衣(うえみねあい)
【プロフィール:マンガ】 https://www3.jitec.ipa.go.jp/JitesCbt/html/uemine/profile.html
20
21
