ニュース
「重要インフラ」のIoT機器、150件に脆弱性 総務省が調査
総務省の調査で、「重要インフラ」で利用されている150件のIoT機器に、パスワード設定が不適切といった脆弱性があると分かった。
総務省は7月2日、電力や鉄道などの「重要インフラ」を対象に行った調査で、150件のIoT機器にパスワード設定が不適切といった脆弱性が見つかったと発表した。不備があると分かった機器の所有者には、対策の必要性を説明するなど注意を促したという。
日本国内のグローバルIPアドレス(IPv4)について、アクティブスキャンなどを行い、脆弱性がある機器を検出。消費電力や水位を監視する装置の他、防災設備を制御する装置、ガスを観測して警報を通知する装置など、150件のIoT機器で不備が見つかった。
うち77件は、Web上で使えるインタフェースに記載された内容から利用者などの情報を取得できたという。その中には実際に利用者などに連絡できたものが36件あった。
36件の内訳は、パスワード設定が不適切だったものが27件、パスワード設定はしていたが認証画面がネット上で公開されていたものが9件だった。
総務省は、所有者などに同意を得た上で、機器の設置環境や設置状況、システム構成などを現地調査。ヒアリング調査も行ったところ、サイバー攻撃の脅威に対する認識が不十分だったり、責任の所在が不明確だったりといった課題が浮き彫りになった。同省は、推測されにくいパスワードの設定、アクセス制御の実施など、対策例も提示したという。
調査は2017年9月〜18年3月、ICT-ISAC、横浜国立大学などと連携して実施した。
関連記事
- 総務省、IoT機器に「認証マーク」導入へ サイバー攻撃急増で
総務省が、一定のセキュリティ要件を満たすIoT機器に認証マークを付与する制度の導入を検討している。早ければ2018年度に実現するという。 - OSSの活用が広がるIoT分野、潜むリスクは
米Synopsysの「2018 Open Source Security and Risk Analysis」レポートによると、IoTも含め、さまざまな業界の商用ソフトウェアでオープンソースソフトウェア・コンポーネントの活用が広がっている。一方で、脆弱性やライセンス違反のリスクも存在する。 - 監視カメラへの不正アクセスを機に考える、注意喚起のあるべき姿
4月下旬〜5月にかけて、複数の自治体で、河川監視などに利用している監視カメラが不正アクセスを受け、画面に「I'm Hacked. bye2」と表示される被害が相次ぎました。その原因は「パスワード」でした。 - 終息どころか「拡張」と「拡散」続くIoTマルウェア 警告相次ぐ
ルーターやネットワーク接続ストレージ(NAS)といった組み込み機器、広義のInternet of Thing(IoT)を狙った攻撃が世界的に拡大しており、セキュリティ企業が相次いで警告を発しています。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.