監視カメラへの不正アクセスを機に考える、注意喚起のあるべき姿：ITの過去から紡ぐIoTセキュリティ（2/3 ページ）

4月下旬〜5月にかけて、複数の自治体で、河川監視などに利用している監視カメラが不正アクセスを受け、画面に「I'm Hacked. bye2」と表示される被害が相次ぎました。その原因は「パスワード」でした。

[高橋睦美，ITmedia]

　ITシステムを構成するOSやソフトウェアのベンダーが脆弱性情報をブログなどで公表し、注意と対処を呼び掛けるようになったのと同様、つながる機器のメーカーも、このようにセキュリティに関する情報をネット上で公表するようになったこと自体は大きな一歩だと思います。しかし、ユーザーの情報や環境を守り、健全なインターネットを実現するには、もっと踏み込んだ内容で、セキュリティにまだ関心を持たない一般のユーザーに広く情報を提供していくことが必要ではないでしょうか。

パスワード管理アプリを提供する米SplashDataが発表した2017年の「最悪のパスワード」＝同社サイトより

　例えば、今回の注意喚起の1つでは「パスワードが設定されているため、パスワードを知らないユーザーにはアクセスできませんから安全です」といった旨の説明がありました。まぁ、パスワードの役割は確かにその通りなのですが……そもそもの問題は、そのパスワード自体がデフォルト設定のままだったり、誰でも容易に推測可能なものであり、第三者によってなりすまし可能な状態にあることです。

　本当にユーザーに安心して使ってもらいたいならば、この場合、パスワードで認証を行っており、それには残念ながらなりすましアクセスのリスクがあることを正直に説明し、「少なくともデフォルトのパスワードから変更すること」「けれども『password』『123456』といった、リスト型攻撃の上位に出てくる文字列は避けること」「可能な限り長い文字列のパスワードを用いること」といったパスワード設定・管理の重要なポイントを、機器それぞれの設定方法とともに示すのが、有効ではないでしょうか。

　その意味で、例えばキヤノンが4月26日付で公開した、「プライベートIPアドレスの利用」「ファイアウォールによる通信制限」「パスワードによる管理」「SSLによる通信の暗号化」といった対策を取るよう推奨する文書は、比較的踏み込んだ内容だと評価できそうです（ただ「パスワードの定期変更」については、触れると長くなるのでまたの機会に）。

キヤノンは「第三者が推測しにくいパスワードを設定してください」などと呼び掛けている＝同社の注意喚起より

　欲を言えば、パスワード長をもっと長く設定できるようなファームウェアへのアップデートも提供されると、なおうれしいです。また、多数の機器をパスワードの使い回しなしで管理していくという、難しい課題の解決策も真面目に検討しなければならないでしょう。

　もう1つ、それ以上に気になったのが、こうした注意が本当に届いてほしい、読んでほしいユーザーに届いているのかということです。