リスクを抱えたサーバ内蔵機器を見つけて――IPAが方法指南

サーバ機能を持つオフィス機器や家電が増加し、不正アクセスなどのリスクも高まっていることから、IPAではツールを使ってこうした機器の把握に努めてほしいとしている。

[ITmedia]

技術資料の表紙

　「Internet of Things」と呼ばれるネット接続環境が広がる中、最近ではWebサーバなどの機能を内蔵するオフィス機器やネットワーク家電が増加し、不正アクセスによる情報漏えいなどのリスクが高まっているという。情報処理推進機構が2月27日、技術解説資料の「増加するインターネット接続機器の不適切な情報公開とその対策」を発表した。こうした機器の把握や対策実施を呼び掛けた。

　サーバ機能を内蔵する機器には、例えばWebインタフェースで業務アプリケーションを連携できる複合機や、スマートフォンなどからインターネット経由で操作できるデジタルレコーダーなどがあり、その種類は年々増えている。IPAによれば、機器の設定不備や脆弱性などが原因となって、第三者が不正アクセスを行い、機器内の情報を盗み出したり、機器をサイバー攻撃の踏み台に悪用したりする恐れがあるという。

　公開された技術資料では「SHODAN」と呼ばれるツールを使って、インターネット接続機器を検索する方法を紹介している。SHODANは誰でも利用可能なことから、以前はサイバー攻撃者による悪用を指摘するセキュリティの専門家も多かったが、IPAでは正しい利用によって機器のユーザーにセキュリティ対策を促したい考え。「知らずに不適切な設定でインターネット上に公開している自組織の機器を発見し、速やかに対処し、攻撃の糸口を断ち切ることが重要」（IPA）という。

SHODANによる検索結果の例（IPAより）

　推奨される対策として技術資料では（1）機器の管理を明確にする、（2）不正アクセスを防ぐネットワーク構成にする、（3）機器に適切な設定を行う――などを挙げている。