Shodanで調べよう、PLCを狙う不審なアクセスへの備え（2/2 ページ）

[國谷武史，ITmedia]

Shodanとは？

　Shodanは、インターネットに公開されているシステムの情報をデータベース化して一般に広く検索サービスを提供しているWebサイトです。利用者がサイト上からIPアドレスやドメイン名、ポート番号などを条件に検索すると、該当するシステムの詳しい情報を入手できます。

Shodanでの検索結果の一例（JPCERT/CC資料）

　インターネットのような公開空間での情報は、基本的にオープンなものとして扱われるのが前提です。Shodanも公開されているシステムの情報を知りたいという利用者のニーズに応える目的で提供されていると思われます。JPCERT/CCによれば、SHODANは当初、Webサーバや一般的なIT機器を対象に情報を蓄積していました。さらに、サービスや機能の向上で産業制御システムにも対応するようになったといいます。

　しかし、この特徴から（1）サイバー攻撃者が標的にできるシステムを探す、（2）システムの管理者が意図しないままシステムをインターネットに公開してしまう――という大きく2つの問題点が生じるようになりました。（1）の問題は善意のサービスを逆手に取る行為であり、サイバー攻撃者の素性を暴きにくいという現在の状況では対策が難しいでしょう。

Shodanの利用イメージ。攻撃者による悪用も存在する（IPA資料より）

　（2）は主に管理者などの認識不足や設定の不備などに起因する問題です。そのような要因で公開されているシステムは、認証が行われていないか、パスワードが初期設定のままだったり、脆弱性が解消されていなかったりと、セキュリティ対策が適切に講じられないまま放置している状況も想定されます。

　サイバー攻撃者にとってセキュリティが甘いシステムの乗っ取りは簡単です。遠隔操作などによって思いのままにセキュリティの甘いシステムを操り、別のシステムへの攻撃の踏み台に使う可能性もあります。そのためにShodanのようなサービスを悪用しています。

対策は？

　Shodanのようなサービスを悪用した脅威から自社のシステムを守るには、まず自社システムが意図せずインターネット上に公開され、Shodanのデータベースに登録されているかどうか確認する必要があります。JPCERT/CCでは次の確認手順を紹介しています。

1. インターネット接続しているネットワーク機器のグローバルIPアドレスを調べる
2. 調べたIPアドレスをShodanで検索する
3. 検索結果に自社のシステムに関する情報が含まれているかどうかを確認する

　もしShodanの検索結果で自社のシステムに関する情報が見つかった場合、そのシステムに対する認証が行われているかどうかや、強固なパスワードが設定されているかどうかいった状況を確認し、適切なアクセス制御を行って不正アクセスの危険性を低減します。意図せずシステムが公開されていたり、外部からアクセスの必要性がないのであれば、システムの公開を停止する措置を講じるべきでしょう。

　JPCERT/CCは、Shodanで定期的に機能強化などが行われていることから、自社システムの状況を常に確認してほしいと呼び掛けています。

　産業制御システムに限らず、現在では様々なシステムがインターネットに接続されているため、Shodanのようなサービスを悪用した攻撃の危険性に絶えず晒されているといっても過言ではありません。最近では家庭のWebカメラが意図せず公開された状態になり、プライバシーがインターネットに漏れたり、設定や脆弱性対策が不十分なホームルータがサイバー攻撃の踏み台にされたりする事態が報告されています。