病院などに導入された地下水処理システム、ネット経由で誰もがアクセス可能になっていた 33
ストーリー by hylom
こういったケースは今後増えそう 部門より
こういったケースは今後増えそう 部門より
国内のあるメーカーが開発した地下水処理システムで、アクセス制限に不備がありインターネット経由で誰もがアクセスできる状況になっていたことが判明したとNHKが報じている。
メーカー名は明らかになっていないが、このシステムは病院やホテル、大型商用施設などおよそ170の施設に導入されているという。このシステムにはインターネット経由でモニタリングを行ったり、各種操作を行える機能があり、本来は権限が与えられた担当者のみがアクセスできるものであるはずが、設定の不備でIアドレスさえ分かれば誰もがアクセス・操作できる状態になっていたという。
メーカーによるとすでに修正が行われており、被害は発生していないとのこと。
今後というか (スコア:2)
inurl:ViewerFrame
というフレーズを思い出しました
で、Iアドレスって何かと思ったらIPアドレスか…
シムシティ好きとしては何かワクワクするシステムだ。
Re: (スコア:0)
世の中結構こういうの溢れてるんでしょうか。
Iアドレス (スコア:1)
とりあえずそういうことで恒例だとは思いつつ釣られておきます。
Re:Iアドレス (スコア:1)
>iアドレス
ま た A p p l e か
とさらに釣られてみる。
Re: (スコア:0)
i○○と言ったらドコモでしょ…えっ今もう違うんだ?
で、結局 (スコア:1)
アクセス出来たら、何が出来たんだろうか?
偶然見つけた病院の地下下水システムという名のホームページ。
どのボタンで何が出来るか。
ボタンに書かれた言葉の意味は分かっても具体的に下水システムがどういう仕組みになっているか分からないので下手には押せない。
そのうち映像と書かれたボタンを見つける。
おそらく下水システムを見る為のボタンで、それであれば大丈夫だろうと押して見る。
そして、その病院の下水システムで見たものとは!!
#病院ホラー版 刻命館
#下水システムをボタンで操り、病院の地下に打ち捨てられたゾンビ達を倒すゲームで再登場
的な
インターネット経由でって不要じゃね (スコア:0)
LAN内でhttpで見られてブラウザで管理するってのはいいけどさ。
外向けに出す必要ないでしょ。
Re:インターネット経由でって不要じゃね (スコア:1)
もしかしたらこの事案そのものかもしれませんが、似たような事案を見たことがあります。
クラウド(orレンタルサーバ)に置けばお安く集中制御できますよというパッケージですね。
同じクラウド(orレンタルサーバ)の複数のIPアドレスで見かけました。
そんなにクリティカルな情報が漏れているとは思えず、事案として放置しましたが、新聞ネタになる程度には興味が持たれているんですね。
Re: (スコア:0)
ソースがわからんので妄想だけど
この手合いの装置って
モニタリングや操作をするのはメーカーなんでは。
エンドユーザは質問や苦情を連絡するだけ。
Re: (スコア:0)
LAN内でhttpで見られてブラウザで管理するってのはいいけどさ。
外向けに出す必要ないでしょ。
設定ミスで意図せず外向けに出ている可能性がある
管理者が外部から管理するために穴あけている場合もある
昔、外につながってないと言いはるシステムが設置業者と運用業者の設定伝達ミスで丸見えだったことがあったんで
Re: (スコア:0)
設定ミスで外に出るってことは、
DMZよりも外に置いてあるってことで、
そもそもそんな必要ないんじゃないのってこと。
LAN内筒抜けだったらこのシステム単独の話じゃなくなるしさ。
Re: (スコア:0)
おいら古い組織で働いてるけど、未だに、隣の部屋のプリンタとの通信がグローバルアドレスだぜ。
後付けでセキュリティについて考えるようになって、ネットワークの構造的には、
がっちがちのファイアウォールに固められて、ローカル用のアドレスとしてグローバルアドレスを使ってるだけのLANと化してるけど。
調べた事はないけど、それ以前の時代は、世界中どこからでもうちの部署のプリンタが見れて便利だったに違いない。
なにせ、httpで見れるプリンタの設定画面の設定項目についてググったら、日本中の同機種の設定画面に直接アクセス出来た時代だ。
(日本語でググったからな。英語でググったらもちろん英語圏中のプリンタがヒットしたんだろうさ)
「最小の手間で設置する」=「LANがあってDHCPでNATですなわちファイアウォールで…」ってのはこの10年ぐらいに出てきた新しいやり方だぜ。
Re: (スコア:0)
「最小の手間で設置する」=「LANがあってDHCPでNATですなわちファイアウォールで…」ってのはこの10年ぐらいに出てきた新しいやり方だぜ。
ちょっと前まで静的・グローバルIPで運用してたってこと?
それは確かに古くからの組織だ…
# ipfwadmとかやってた覚えあるので、
# DHCP・ローカルアドレスでの運用がここ10年の手法って読んでビビった
Re: (スコア:0)
X 端末にいたるまでグローバルIP 付与されてたし、普通に研究室のサーバーに FTP たてて、自分の IP を伝えて相手にファイル取ってもらってたよ。
そういう時代から、まだ30年たってないからな。
ローカルIP とか NAT 使うのが当たり前になったのって最近のイメージだな。
Re: (スコア:0)
う、うちの母校なんかClass Aドメインをまるまる一個独占していたんだからね!
アドレスが余りすぎて途中のオクテットのうち一個はゼロ固定だったんだけどねっ!!
さすがにゼータクすぎんだろってことで、わしの卒業後に返却したそうだが。
# 学校を特定されそうなのでAC
Re: (スコア:0)
うちはグローバルIPを振ってNATしてた。学生が持ち込んだスマホに133.xx.xx.xxが降ってきて外から見るとGWのIP。
PC・タブレット・スマホ・ルータが802.1X認証して小教室を埋めて、どうも帯域が足りないぞとなる度にはんぺんが増えてた。
部屋が暑いのなんの……
Re: (スコア:0)
ちょうど、そんなような状態から足りなくなってきた時代を大学で過ごした。
みんながデスクトップとノートを1台ずつ使うようになって来て、ゼミの先生から、
「アドレスが足りなくなりそうなので、NATというやつを入れるように」と指示されて調べて設定したのは良い思い出。
その設定をするまでは、各学生が普段使うデスクトップWindowsマシンにまで、グローバルIPどころかFQDNが付いてた。
Re: (スコア:0)
ちょっと前まで静的・グローバルIPで運用してたってこと?
そこは未だにそうだぜ。
ちょっと前までは、それに加えて、外からのパケットが全部そのグローバルアドレスまで直接来てたんだ。
古き良きIPが目指していた平和な世界。
Re: (スコア:0)
そういう埋もれたアドレスを発掘したらIPv4アドレスの枯渇って解決するんじゃないの。
Re: (スコア:0)
多重NAPTを使えば当面は動くけど、動かないアプリもあるしそうするとインターネットって何なのっていう
まあIPv6にやる気がないのがすべて悪い
Re: (スコア:0)
延命はするかも知れないけど、焼け石に水だな。
発掘には再設定の手間に見合ったインセンティブが出せるの?
プライベートアドレスに乗り換えた方が余裕が出来て管理が楽にちがいないけど、乗り換えの手間の方が大きくて放置されてるからな。
細かいアドレスを集めたところで、ネットワーク的に遠く離れたところへ割り振りできるわけでもないだろ?
世界規模でやったらルーティングが破綻する。近所でやりくりして少しずつずらすみたいなことをやるとコストが跳ね上がる。
ぶっちゃけ、それでも発掘したいなら、まともなルーティングを諦めるってのが現実的じゃないかね。
そのアドレスに来たIPv4のパケットを、NATなりvpnなりで設定されたIPv6のアドレスへと転送する。逆方向も。
これなら、世界中のどこの誰にでも、自分の所のネットワークに属したIPv4アドレスを1個単位で簡単に貸せる。
帯域を無駄に2倍使って遅延もえらく増えることになるけど、IPv4が枯渇して高騰していけば、組織の良い小遣い稼ぎとして成立しそうだな。
Re: (スコア:0)
いまはやりのIoTなんですよ
わかってくださいよ
# Tがデカすぎる?
Re:インターネット経由でって不要じゃね (スコア:2)
Re: (スコア:0)
そりゃ下水だもの
# ン? 地下水?
メーカーによるとすでに修正が行われており、被害は発生していないとのこと。 (スコア:0)
ならなぜそのメーカーを公表しないのか。
Re: (スコア:0)
別に犯罪ではないからじゃね
Re: (スコア:0)
今、流行りの重過失(適当
Re: (スコア:0)
栗田工業かな。
Re: (スコア:0)
論理的にはその通りなんだけど、
現実的には良くわかってない人々を含んだ
有象無象による誹謗中傷の元ネタになりそう
だから伏せてるんじゃないかな。
匿名で煽りたいだけ、みたいな人々多いでしょ。
18年前ならあり得たが (スコア:0)
Webブラウザで操作できる、照明器具の集中管理システムを某展示会で見かけた。
セキュリティ面の配慮が全く見られなかったので確認したら、担当者は「こんなのいじりたがる人なんていませんよ」とか答えていた。
標準設定を変えればいいのに (スコア:0)
プリンタもwebカメラもIPアドレスつく機器はなんでも、
標準設定でおなじサブネット内とローカルアドレスからのみ操作うけつけるようにすればいいのに
手動で設定して初めてインターネットに公開が可能にして
同列で語っては行けないんだろうけど (スコア:0)
こういうのがあるから、PLCって危険に思えてしまう。
日経のキモヲタとどう違うのか? (スコア:0)
NHKがやったことと、日経の記者がやったことって
同じじゃないのか?