ITシステムを構成するOSやソフトウェアのベンダーが脆弱性情報をブログなどで公表し、注意と対処を呼び掛けるようになったのと同様、つながる機器のメーカーも、このようにセキュリティに関する情報をネット上で公表するようになったこと自体は大きな一歩だと思います。しかし、ユーザーの情報や環境を守り、健全なインターネットを実現するには、もっと踏み込んだ内容で、セキュリティにまだ関心を持たない一般のユーザーに広く情報を提供していくことが必要ではないでしょうか。
例えば、今回の注意喚起の1つでは「パスワードが設定されているため、パスワードを知らないユーザーにはアクセスできませんから安全です」といった旨の説明がありました。まぁ、パスワードの役割は確かにその通りなのですが……そもそもの問題は、そのパスワード自体がデフォルト設定のままだったり、誰でも容易に推測可能なものであり、第三者によってなりすまし可能な状態にあることです。
本当にユーザーに安心して使ってもらいたいならば、この場合、パスワードで認証を行っており、それには残念ながらなりすましアクセスのリスクがあることを正直に説明し、「少なくともデフォルトのパスワードから変更すること」「けれども『password』『123456』といった、リスト型攻撃の上位に出てくる文字列は避けること」「可能な限り長い文字列のパスワードを用いること」といったパスワード設定・管理の重要なポイントを、機器それぞれの設定方法とともに示すのが、有効ではないでしょうか。
その意味で、例えばキヤノンが4月26日付で公開した、「プライベートIPアドレスの利用」「ファイアウォールによる通信制限」「パスワードによる管理」「SSLによる通信の暗号化」といった対策を取るよう推奨する文書は、比較的踏み込んだ内容だと評価できそうです(ただ「パスワードの定期変更」については、触れると長くなるのでまたの機会に)。
欲を言えば、パスワード長をもっと長く設定できるようなファームウェアへのアップデートも提供されると、なおうれしいです。また、多数の機器をパスワードの使い回しなしで管理していくという、難しい課題の解決策も真面目に検討しなければならないでしょう。
もう1つ、それ以上に気になったのが、こうした注意が本当に届いてほしい、読んでほしいユーザーに届いているのかということです。
Copyright © ITmedia, Inc. All Rights Reserved.
Special
PR