パスワードを忘れた? アカウント作成
13106212 story
セキュリティ

病院などに導入された地下水処理システム、ネット経由で誰もがアクセス可能になっていた 33

ストーリー by hylom
こういったケースは今後増えそう 部門より

国内のあるメーカーが開発した地下水処理システムで、アクセス制限に不備がありインターネット経由で誰もがアクセスできる状況になっていたことが判明したとNHKが報じている。

メーカー名は明らかになっていないが、このシステムは病院やホテル、大型商用施設などおよそ170の施設に導入されているという。このシステムにはインターネット経由でモニタリングを行ったり、各種操作を行える機能があり、本来は権限が与えられた担当者のみがアクセスできるものであるはずが、設定の不備でIアドレスさえ分かれば誰もがアクセス・操作できる状態になっていたという。

メーカーによるとすでに修正が行われており、被害は発生していないとのこと。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by microwavable (47421) on 2016年12月27日 7時59分 (#3136021) 日記

    inurl:ViewerFrame
    というフレーズを思い出しました
    で、Iアドレスって何かと思ったらIPアドレスか…

    シムシティ好きとしては何かワクワクするシステムだ。

    • by Anonymous Coward
      今だとWatchDogs風味かなぁ。
      世の中結構こういうの溢れてるんでしょうか。
  • by nemui4 (20313) on 2016年12月27日 8時06分 (#3136024) 日記

    とりあえずそういうことで恒例だとは思いつつ釣られておきます。

  • by mondy (27787) on 2016年12月27日 23時38分 (#3136632)

    アクセス出来たら、何が出来たんだろうか?

    偶然見つけた病院の地下下水システムという名のホームページ。
    どのボタンで何が出来るか。
    ボタンに書かれた言葉の意味は分かっても具体的に下水システムがどういう仕組みになっているか分からないので下手には押せない。
    そのうち映像と書かれたボタンを見つける。
    おそらく下水システムを見る為のボタンで、それであれば大丈夫だろうと押して見る。

    そして、その病院の下水システムで見たものとは!!

    #病院ホラー版 刻命館
    #下水システムをボタンで操り、病院の地下に打ち捨てられたゾンビ達を倒すゲームで再登場
    的な

  • by Anonymous Coward on 2016年12月27日 9時23分 (#3136066)

    LAN内でhttpで見られてブラウザで管理するってのはいいけどさ。
    外向けに出す必要ないでしょ。

    • もしかしたらこの事案そのものかもしれませんが、似たような事案を見たことがあります。

      クラウド(orレンタルサーバ)に置けばお安く集中制御できますよというパッケージですね。
      同じクラウド(orレンタルサーバ)の複数のIPアドレスで見かけました。

      そんなにクリティカルな情報が漏れているとは思えず、事案として放置しましたが、新聞ネタになる程度には興味が持たれているんですね。

      親コメント
    • by Anonymous Coward

      ソースがわからんので妄想だけど
      この手合いの装置って
      モニタリングや操作をするのはメーカーなんでは。
      エンドユーザは質問や苦情を連絡するだけ。

    • by Anonymous Coward

      LAN内でhttpで見られてブラウザで管理するってのはいいけどさ。
      外向けに出す必要ないでしょ。

      設定ミスで意図せず外向けに出ている可能性がある
      管理者が外部から管理するために穴あけている場合もある

      昔、外につながってないと言いはるシステムが設置業者と運用業者の設定伝達ミスで丸見えだったことがあったんで

      • by Anonymous Coward

        設定ミスで外に出るってことは、
        DMZよりも外に置いてあるってことで、
        そもそもそんな必要ないんじゃないのってこと。
        LAN内筒抜けだったらこのシステム単独の話じゃなくなるしさ。

        • by Anonymous Coward

          おいら古い組織で働いてるけど、未だに、隣の部屋のプリンタとの通信がグローバルアドレスだぜ。

          後付けでセキュリティについて考えるようになって、ネットワークの構造的には、
          がっちがちのファイアウォールに固められて、ローカル用のアドレスとしてグローバルアドレスを使ってるだけのLANと化してるけど。

          調べた事はないけど、それ以前の時代は、世界中どこからでもうちの部署のプリンタが見れて便利だったに違いない。
          なにせ、httpで見れるプリンタの設定画面の設定項目についてググったら、日本中の同機種の設定画面に直接アクセス出来た時代だ。
          (日本語でググったからな。英語でググったらもちろん英語圏中のプリンタがヒットしたんだろうさ)

          「最小の手間で設置する」=「LANがあってDHCPでNATですなわちファイアウォールで…」ってのはこの10年ぐらいに出てきた新しいやり方だぜ。

          • by Anonymous Coward

            「最小の手間で設置する」=「LANがあってDHCPでNATですなわちファイアウォールで…」ってのはこの10年ぐらいに出てきた新しいやり方だぜ。

            ちょっと前まで静的・グローバルIPで運用してたってこと?
            それは確かに古くからの組織だ…

            # ipfwadmとかやってた覚えあるので、
            # DHCP・ローカルアドレスでの運用がここ10年の手法って読んでビビった

            • by Anonymous Coward
              うちの学校もグローバルアドレス余ってたしな。

              X 端末にいたるまでグローバルIP 付与されてたし、普通に研究室のサーバーに FTP たてて、自分の IP を伝えて相手にファイル取ってもらってたよ。
              そういう時代から、まだ30年たってないからな。

              ローカルIP とか NAT 使うのが当たり前になったのって最近のイメージだな。
              • by Anonymous Coward

                う、うちの母校なんかClass Aドメインをまるまる一個独占していたんだからね!
                アドレスが余りすぎて途中のオクテットのうち一個はゼロ固定だったんだけどねっ!!

                さすがにゼータクすぎんだろってことで、わしの卒業後に返却したそうだが。

                # 学校を特定されそうなのでAC

              • by Anonymous Coward

                うちはグローバルIPを振ってNATしてた。学生が持ち込んだスマホに133.xx.xx.xxが降ってきて外から見るとGWのIP。
                PC・タブレット・スマホ・ルータが802.1X認証して小教室を埋めて、どうも帯域が足りないぞとなる度にはんぺんが増えてた。
                部屋が暑いのなんの……

              • by Anonymous Coward

                ちょうど、そんなような状態から足りなくなってきた時代を大学で過ごした。

                みんながデスクトップとノートを1台ずつ使うようになって来て、ゼミの先生から、
                「アドレスが足りなくなりそうなので、NATというやつを入れるように」と指示されて調べて設定したのは良い思い出。

                その設定をするまでは、各学生が普段使うデスクトップWindowsマシンにまで、グローバルIPどころかFQDNが付いてた。

            • by Anonymous Coward

              ちょっと前まで静的・グローバルIPで運用してたってこと?

              そこは未だにそうだぜ。
              ちょっと前までは、それに加えて、外からのパケットが全部そのグローバルアドレスまで直接来てたんだ。
              古き良きIPが目指していた平和な世界。

              • by Anonymous Coward

                そういう埋もれたアドレスを発掘したらIPv4アドレスの枯渇って解決するんじゃないの。

              • by Anonymous Coward

                多重NAPTを使えば当面は動くけど、動かないアプリもあるしそうするとインターネットって何なのっていう
                まあIPv6にやる気がないのがすべて悪い

              • by Anonymous Coward

                延命はするかも知れないけど、焼け石に水だな。

                発掘には再設定の手間に見合ったインセンティブが出せるの?
                プライベートアドレスに乗り換えた方が余裕が出来て管理が楽にちがいないけど、乗り換えの手間の方が大きくて放置されてるからな。

                細かいアドレスを集めたところで、ネットワーク的に遠く離れたところへ割り振りできるわけでもないだろ?
                世界規模でやったらルーティングが破綻する。近所でやりくりして少しずつずらすみたいなことをやるとコストが跳ね上がる。

                ぶっちゃけ、それでも発掘したいなら、まともなルーティングを諦めるってのが現実的じゃないかね。
                そのアドレスに来たIPv4のパケットを、NATなりvpnなりで設定されたIPv6のアドレスへと転送する。逆方向も。
                これなら、世界中のどこの誰にでも、自分の所のネットワークに属したIPv4アドレスを1個単位で簡単に貸せる。
                帯域を無駄に2倍使って遅延もえらく増えることになるけど、IPv4が枯渇して高騰していけば、組織の良い小遣い稼ぎとして成立しそうだな。

    • by Anonymous Coward

      いまはやりのIoTなんですよ
      わかってくださいよ
      # Tがデカすぎる?

  • ならなぜそのメーカーを公表しないのか。

    • by Anonymous Coward

      別に犯罪ではないからじゃね

      • by Anonymous Coward

        今、流行りの重過失(適当

    • by Anonymous Coward

      栗田工業かな。

    • by Anonymous Coward

      論理的にはその通りなんだけど、
      現実的には良くわかってない人々を含んだ
      有象無象による誹謗中傷の元ネタになりそう
      だから伏せてるんじゃないかな。
      匿名で煽りたいだけ、みたいな人々多いでしょ。

  • by Anonymous Coward on 2016年12月27日 19時24分 (#3136492)

    Webブラウザで操作できる、照明器具の集中管理システムを某展示会で見かけた。
    セキュリティ面の配慮が全く見られなかったので確認したら、担当者は「こんなのいじりたがる人なんていませんよ」とか答えていた。

  • by Anonymous Coward on 2016年12月28日 1時28分 (#3136681)

    プリンタもwebカメラもIPアドレスつく機器はなんでも、
    標準設定でおなじサブネット内とローカルアドレスからのみ操作うけつけるようにすればいいのに

    手動で設定して初めてインターネットに公開が可能にして

  • by Anonymous Coward on 2016年12月28日 20時56分 (#3137060)

    こういうのがあるから、PLCって危険に思えてしまう。

  • by Anonymous Coward on 2016年12月29日 6時57分 (#3137173)

    NHKがやったことと、日経の記者がやったことって
    同じじゃないのか?

typodupeerror

吾輩はリファレンスである。名前はまだ無い -- perlの中の人

読み込み中...