感染を招いたポイントはいくつかありますが、最も大きな要因は、機器がインターネットからオープンにアクセスできる状態になっており、かつ容易に推測可能な、あるいは公になっているIDとパスワードが設定されていたことです。
これまでもITmedia NEWSは、「123456」や「password」といった「最悪のパスワード」に関するニュースを取り上げてきました。こうした安易で誰でも推測できるパスワードは、第三者によるなりすましや不正アクセスを招きやすいものです。
そこでITセキュリティのベストプラクティスとして、一定以上の長さを持ったり、記号などを組み合わせたパスワードを設定することが推奨されています(そのために、パスワード設定のたびに悩む人も多いと思います)。また、数年前から複数のシステムやサービスで同一のパスワードを使い回すユーザーを狙った「不正ログイン」攻撃が横行したことを背景に、システムやサービスごとに異なるパスワードを設定することの大切さも訴えられるようになってきました。
IoT機器のパスワードにも、ITシステムと同じことが言えます。形は全く違いますが、中に入っているのは汎用的なOSであり、安易なパスワードのままでは悪意を持った第三者がユーザーになりすまして不正アクセスされる恐れがあります。その結果、情報の盗み見や勝手な設定変更、悪意あるソフトウェアのインストールといった操作が行われる可能性があるのです。
Miraiはまさに、こうした弱いパスワードを狙って感染を広げました。いくつかの報道によると、Miraiは「ID:root、パスワード:admin」といった安易なIDとパスワードの組み合わせ62種類をリスト化し、インターネットにつながっている組み込み機器やIoT機器にアクセスして総当たりでログインを試しました。そして、パスワードが出荷時のまま変更されていなかったり、ありがちなパスワードが設定されていたりでログイン可能な端末があると、これ幸いと管理者としてログインし、さまざまな探索・攻撃活動を行いました。
Copyright © ITmedia, Inc. All Rights Reserved.
Special
PR