改訂版「増加するインターネット接続機器の不適切な情報公開とその対策」を公開
~ネットに接続された機器の点検に、新たに登場した検索エンジンの活用も~
2016年6月22日
省庁・団体名
独立行政法人情報処理推進機構(IPA)
概要
IPA(独立行政法人情報処理推進機構、理事長:富田 達夫)セキュリティセンターは、無償で利用できる検索エンジン“Censys(*1)”(センシス)が2015年10月に新たに登場したことを受け、2014年に公開したテクニカルウォッチ「増加するインターネット接続機器の不適切な情報公開とその対策」を更新し、その使い方、機能などを追加し2016年5月31日より改訂版として公表しました。
URL:https://www.ipa.go.jp/security/technicalwatch/20160531.html
内容
2015年11月に発表された民間調査によれば、インターネットに接続される機器は2016年には64億台に上り、今後さらに増え続けていくとあります(*2)。IPAでは、2013年11月に複合機で読み取った情報がネットを通じて外部から閲覧できる状態にあった事例を受けて、テクニカルウォッチ「増加するインターネット接続機器の不適切な情報公開とその対策」を2014年2月に公表しました。この中では、利用者の設定不備等で意図しない情報が開示(漏えい)されないよう、対策等が解説されています。
その後、2015年10月にミシガン大学の研究者によって“Censys”と呼ばれる、インターネット上に接続されている機器の情報(たとえば、OS(*3)やソフトウェアのバージョン、ルーティング(*4)情報、認証に関する情報)等を検索することに特化した検索エンジンが開発されました。“Censys”は前述のテクニカルウォッチでも紹介したSHODAN(*5)と類似の検索エンジンで、インターネット上に接続された機器を検索します。またSHODANは一部の機能が有償(*6)であるのに対し、“Censys”は全ての機能を無償で利用でき、個別プロトコルの検索ヒット数が多いことが特長です。
IPAではIoTなど、インターネットに接続される機器の安全確認には“Censys”も有効であることから、その利用方法などを解説したテクニカルウォッチの改訂版を作成しました。
改訂版では、SHODAN、“Censys”両サービスに登録されている日本の機器台数を、機能別(表1)、ポート別(表2)にまとめています。表1では機器別に想定される脅威・リスクを整理しており、製造業者、および利用者は該当機器を点検するための指針となります。また表2は、外部からの攻撃に備え、機器に装備している該当ポートの点検に役立てることが可能です。
今後、IoT 機器の普及においては、製造業者、設置業者、利用者がそれぞれの立場で、不用意な設定で、情報が開示されることのないよう、適切な接続を確認することが望まれます。
改訂版が、システム管理者や利用者にとって、管理するIoT機器の情報セキュリティ対策強化の一助になることを期待しています。
脚注
(*1) インターネットに接続されたサーバー、ルーター、IP電話等の機器を検索できる検索エンジン
(*2) Gartner. Press Release 「Gartner Says 6.4 Billion Connected "Things" Will Be in Use in 2016, Up 30 Percent From 2015」 http://www.gartner.com/newsroom/id/3165317
(*3) オペレーティングシステムのことで、パソコンやスマホが動作するために必要な基本ソフト。
(*4) データ(パケット)を送信するときに最適な転送経路を選択して転送すること。
(*5) 2009年にJohn Matherly 氏によって開発された インターネットに接続されている機器の情報を検索する検索エンジン。
(*6) 無償サービスでは、検索結果の表示数が制限されますが、有償サービスもあり、表示数の制限の緩和、検索結果の外部出力機能(エクスポート機能)、API の提供を行っている。
プレスリリースのダウンロード
資料のダウンロード
お問い合わせ
IPA 技術本部 セキュリティセンター 工藤(誠)/大道
Tel: 03-5978-7527 Fax: 03-5978-7518