ネットワーク機器の利用における セキュリティ対策 独立行政法人情報処理推進機構 技術本部 セキュリティセンター 大道 晶平 内容 • インターネットに接続することについて ポイントを解説 • 被害事例を紹介 • 対策について考える 2 Copyright © 2016 独立行政法人情報処理推進機構 繋がる機器 国境を越えて繋がる • あまり意識をしない まま、様々な機器 がインターネットに 接続されている • これらの機器が攻 撃のターゲットにな ってきている。 3 Copyright © 2016 独立行政法人情報処理推進機構 インターネットに接続するイメージ ~外部からの接続を拒否~ • ポイント – インターネットの住所 (グローバルIP)には誰でも 訪問が可能 本駒込二丁目28番8号 202.122.141.45 玄関 192.168.0.1 太郎 192.168.0.2 カメラ 192.168.0.3 Copyright © 2016 独立行政法人情報処理推進機構 – ドメイン(ex. ipa.go.jp)を取得して いなくてもアクセスされる – 外部から内部の機器へのアクセス を許可しなければ侵入されない。 4 インターネットに接続するイメージ ~外部からの接続を許可~ • ポイント – 外部からの訪問者を招き入れたい 場合がある 本駒込二丁目28番8号 202.122.141.45 – ネットワーク機器の設定で内部の 機器へのアクセスを許可できる – 制限しなければ誰でも訪問可能 応接間 玄関 192.168.0.3 192.168.0.1 太郎 192.168.0.2 Copyright © 2016 独立行政法人情報処理推進機構 5 目的 • 世界を見れるということは、世界から見られる 可能性がある • 機器の脆弱性ではなく、使い方の問題 改めて「インターネットに接続している」 ことの意識を変える 6 Copyright © 2016 独立行政法人情報処理推進機構 被害事例 case.1 複合機 • 2016年1月に、複数の学術機関において複合機が インターネットからアクセス可能となっていたと報道 – 26校が該当 – メールアドレスや文書のファイル名等が閲覧できた • 2013年に続き、IPAで再度注意喚起を実施 http://www.asahi.com/articles/ASHDD45K9HDDPTIL00B.html https://www.ipa.go.jp/security/ciadr/vul/20160106-printer.html Copyright © 2016 独立行政法人情報処理推進機構 7 被害事例 case.2 ウェブカメラ • 海外のサイトにおいてインターネットに公開されて いるウェブカメラの一覧が掲載されていると報道 – 医療機関や製造会社に設置 された防犯カメラも含まれていた – IDやパスワードが設定されてい ない機器が確認されている • 外部からアクセス可能なウェブ カメラについては2015年3月に も報道されている http://www.sankei.com/west/news/160330/wst1603300055-n1.html http://www.asahi.com/articles/ASH3654C1H36PTIL00W.html Copyright © 2016 独立行政法人情報処理推進機構 ウェブカメラ一覧 8 被害事例 case.3 ルータ • ルータが乗っ取られ、DDoS攻撃等への悪用が可 能になっていると報道 – 全てのルータでリモートアクセスが可能 – ほぼ全てのルータが初期パスワードを変更していない – LAN内の他の機器にアクセスされる可能性もある 内部だけでなく、外部への攻撃にも悪用される http://japan.zdnet.com/article/35064561/ Copyright © 2016 独立行政法人情報処理推進機構 9 ここで素朴な疑問 • ドメイン(ex. ipa.go.jp)を取得してないから大丈夫? • 自組織のグローバル IP アドレスなんて誰も興味ない から大丈夫? • 有名ではない機器を使用しているから大丈夫? このような認識の方にこそ聴いていただきたい! 10 Copyright © 2016 独立行政法人情報処理推進機構 素朴な疑問への回答 • ドメイン(ex. ipa.go.jp)を取得してないから大丈夫? →グローバルIPアドレスならアクセスされる • 自組織のグローバル IP アドレスなんて誰も興味ない から大丈夫? →世界中の機器を調査したデータが公開されている • 有名ではない機器を使用しているから大丈夫? →適宜調査対象は追加される このような認識の方にこそ「容易に探せる」 ということを知ってただきたい! 11 Copyright © 2016 独立行政法人情報処理推進機構 インターネットに接続された機器を 検索するエンジンの存在 • 「Shodan」というサービスで インターネットに接続された 機器の検索が可能 • Googleでもウェブカメラの 検索といった類似の検索は 可能 12 Copyright © 2016 独立行政法人情報処理推進機構 検索エンジンの活用 ~問題が存在する機器の探索1~ • MongoDBというデータベースソフトが不適切な設定 のために外部からアクセス可能になっていると報道 – Shodanで調査した結果、海外で投票者の情報を発見された • ファイアウォールの製品に遠隔アクセスが可能な 脆弱性が存在すると報道 – 検索エンジンを使用して、5万台以上が がインターネットからアクセス可能と確認 – 1500台以上がパッチを適用されていない http://www.itmedia.co.jp/enterprise/articles/1502/23/news141.html http://arstechnica.co.uk/security/2016/04/millions-of-mexican-voter-records-leaked-amazon-cloud/ http://www.securityweek.com/backdoors-not-patched-many-juniper-firewalls Copyright © 2016 独立行政法人情報処理推進機構 13 検索エンジンの活用 ~問題が存在する機器の探索2~ • 米国でガソリンポンプの監視システムへの攻撃を 確認したと報道 – Shodanによる調査の結果、米国で多数の監視システム がインターネット上に公開されていた • 海外でトラックの通信機器にインターネットからアク セス可能だったと報道 – Shodanによる調査で、数百の機器を確認した – 多くの機器はアクセスに認証の必要がなかった http://blog.trendmicro.co.jp/archives/10922 http://news.softpedia.com/news/internet-connected-trucks-can-be-tracked-and-hacked-researcher -finds-501415.shtml Copyright © 2016 独立行政法人情報処理推進機構 14 対策 ~管理の明確化~ • 管理者を明確する • ネットワーク接続のルールを定める • 利用者に周知する ルールを定める 利用者 管理 周知 管理者 15 Copyright © 2016 独立行政法人情報処理推進機構 対策 ~ネットワークによる保護~ • 必要がない機器を外部ネットワークに接続しない • 原則ファイアウォールやブロードバンドルータを経 由させ、許可する通信を限定する 外部からの利用者や ベンダーの保守員 利用者 悪意ある第三者 管理者 16 Copyright © 2016 独立行政法人情報処理推進機構 対策 ~適切な設定~ • 管理者用のアカウント/パスワードを初期値から変更 • ソフトウェアを最新の状態に更新する 外部からの利用者や ベンダーの保守員 利用者 悪意ある第三者 管理者 17 Copyright © 2016 独立行政法人情報処理推進機構 まとめ • 世界中から見られる可能性がある • 攻撃者は、検索エンジンなどを利用して簡単 にターゲットを探せる • ネットワーク機器は正しく設定して利用する 高度な対策の前に、まずは基本の対策を! 18 Copyright © 2016 独立行政法人情報処理推進機構 新試験はじまる! 情報セキュリティマネジメント試験 情報セキュリティの基礎知識から管理能力まで、 組織の情報セキュリティ確保に貢献し、脅威から 継続的に組織を守るための基本的スキルを認定する試験 ◆受験をお勧めする方◆ ・個人情報を扱う全ての方 ・業務部門・管理部門で 情報管理を担当する全ての方 ◆28年度秋期試験実施時期◆ 初回応募者 約2万3千人!! Copyright © 2016 独立行政法人情報処理推進機構 ・実施日 2016年10月16日(日) ・申込受付 2016年7月11日(月)から 19 ITパスポート公式キャラクター 上峰亜衣(うえみねあい) 【プロフィール:マンガ】 https://www3.jitec.ipa.go.jp/JitesCbt/html/uemine/profile.html 「iパス」は、ITを利活用するすべての社会人・学生が備えておくべき ITに関する基礎的な知識が証明できる国家試験です。 20 21
© Copyright 2024 ExpyDoc
