情報通信研究機構(NICT)がポートスキャンによる脆弱性調査(NOTICE)を行うことが以前報じられていたが、このポートスキャン実施状況が公表された(総務省の発表)これによると、調査対象IPアドレス約9000万件のうちID・パスワードが入力可能だったものは約3万1000~4万2000件で、うち147件は容易に推測されるID・パスワードでのログインが可能だったという。NICTはマルウェアに感染しているIoT機器の特定およびその情報のISPへの通知も行っているが、こちらについては1日あたり112~155件が対象になったという。
電気グルー (スコア:3)
http://www.soumu.go.jp/main_sosiki/joho_tsusin/security/basic/privacy/01-2.html
こちらに、詳しく書いていますね。
容易に推測されるID・パスワードでのログインが可能のいる理由が
・総務省の広報が足りない、と、考えるのか
・総務省のHPは読まれても、実践されていない、と考えるのか
いずれでも、今回の実施状況結果は、誰かが利用してくれるのだろうか?
Re:電気グルー (スコア:3, すばらしい洞察)
初期パスワードを放置するユーザーならば、わざわざ総務省サイトを見ないと思われる。
取説も読まないに違いない。
Re: (スコア:0)
こういう啓蒙活動を継続的に続けてくれるのはありがたい。
新入社員向け教育資料として非常に役に立つ。
政府機関の手により更新改版され続けていると言うことが重要。
Re: (スコア:0)
多くのユーザーはそもそもデフォルトパスワードを変更しない
よって、個人向けIoT機器に求められるのは、
メーカーが最初からランダムパスワードを設定して出荷すること
筐体にランダムな初期パスワードを書いたシールを張っておけばいい
また、機器にグローバルIPアドレスが振ってある場合、標準でおなじサブネット内からしか設定できないみたいな
制限があってもいいとおもう
Re:電気グルー (スコア:1)
十分な強度のパスワードを設定しない限り使えないようにすればいいと思う。
つまりログインしたってこと? (スコア:1)
>容易に推測されるID・パスワードでのログインが可能だった
容易に推測できればログインしても不正アクセスにならないの?
Re:つまりログインしたってこと? (スコア:2, 興味深い)
体制側(総務省)ならok。という法律できた。
事前に関係省庁に根回ししてから実行したんでしょうね。
電気通信事業を所管する省庁は何処だっけ?
Re: (スコア:0)
体制側でなくても容易に推測できる場合は不正アクセスにはならないです。法整備したのは念為規定みたいなもの。
高度なボケか何かでしょうか……。
Re: (スコア:0)
逮捕をして自白させれば有罪ですよね
粘って不起訴とどちらをえらぶか
Re: (スコア:0)
推測できるパスワードでも入っちゃダメでしょ。違法でしょ。
設定した人はパスワードの強度に関して無知なだけで、入られてもよいと考えたわけではない。
それにデフォルトパスワードについては、ユーザーも存在を知らないことも多いわけだよ。
インターロップのセッションで、会場内のペネトレーションテストをして一番よく見つかるのがデフォルトパスワードのままって言ってた気がする。
ベンダーの技術者たちが集まるところでも、デフォルトパスワードはつい見逃しちゃうんだ。
Re:つまりログインしたってこと? (スコア:1)
高木浩光@自宅の日記 - 改正NICT法がプチ炎上、工場出荷時共通初期パスワードが識別符号に当たらないことが理解されていない [takagi-hiromitsu.jp]
Re: (スコア:0)
ハニーポットで補足監視していた人の話では「ログイン出来たらすぐ立ち去る」というのは嘘の説明で、実際はechoコマンドを実行して動作まで確認していたそうです。
他人のコンピュータに侵入するテストまでは合法化しても、コマンドを実行してリソースを消費させる行為は違法なので、神奈川県警さん、出番ですよ。
Re: (スコア:0)
やめなよそういうの
147件は肌感覚としてはかなり少ない (スコア:0)
少しShodanで検索するだけでもデフォルトID/PWで侵入可能な日本の機器はごまんと見つかる。本当に調査できているのか?
Re:147件は肌感覚としてはかなり少ない (スコア:1)
調査範囲の問題か、外向きに安直共通デフォルトパスで口開けるバカは意外と少なかったのか……
このくらいの件数だと全部ハニーポットでも不思議じゃない数に思える。
もともと運用してた人・組織に加えて本件を受けて設置した人・組織もあるし、
構成によってどんなアクセスが行われるか見ようとする奴はまとまった数を設置運用する訳で。
Re:147件は肌感覚としてはかなり少ない (スコア:1)
> 外向きに安直共通デフォルトパスで口開けるバカは意外と少なかったのか
だったらShodanでも見つからないと思うので、
調査範囲が狭いだけでは?
Re: (スコア:0)
どうやってデフォルトIDが使えるシステムか確認するのか?
admin/admin 0000 ぐらいしか調べないでしょ。
Re:147件は肌感覚としてはかなり少ない (スコア:1)
そんなわけないでしょ、Miraiとその亜種対策が調査実施の動機なんだから。ソース嫁
http://www.soumu.go.jp/main_content/000630525.pdf [soumu.go.jp]
これまでサイバー攻撃に用いられたもの(例:「Password」「Admin1234」)
同一の文字等を用いたもの(例:「888888」「123456」)
Re: (スコア:0)
そもそもadminがデフォルトであるという確証がどこから出てくるのやら
Re: (スコア:0)
うちのルーター、初期設定でadmin、adminで外からいじれるよ
Re: (スコア:0)
忖度です。
今時のデフォルトパスワードは「名前」や「会社名」ですね (スコア:0)
昔はメーカーが設定したデフォルトパスワードがありましたが、今は初期設定の時に強制的にパスワードを設定させられる機器が増えてきた影響で、
業者が初期設定した場合、初期パスワードは、個人宅なら「名字」、法人なら「会社名」にされることが多いですね。
田中さん宅だと、
『パスワードは「tanaka」にして、ポストイットで機器に貼り付けておきました^^
もし必要であれば、変更してくださいね^^」
みたいに勝手に名字にされちゃいます。
「もし必要であれば、変更」は責任回避のための言い訳で、もし自分でパスワード変更できるスキルがあるならセットアップ代行なんて頼まないでしょう。
顧客にパスワード何にするか聞くと、顧客が考える時間待機しないといけなくなるので、勝手に設定しちゃうのでしょう。
無論、文句言うとその場で変更してくれますけどね。
代表的な名字って限られてますので、苗字でブルートフォースアタックかけたら結構突破できるんじゃないかな。
Re:今時のデフォルトパスワードは「名前」や「会社名」ですね (スコア:1)
> 代表的な名字って限られてますので、苗字でブルートフォースアタックかけたら結構突破できるんじゃないかな。
細かいことを言うようだが、それブルートフォースじゃなくて辞書攻撃
Re: (スコア:0)
自分の時は電話番号だったなぁ。
利便性が優先 (スコア:0)
設置屋に丸投げするような奴がきちんとパスワード管理できるわけがない。
絶対に忘れて後で業者呼び出すのだから、付箋にサルでも分かる単純パス書いておくのは当然だよ。
セキュリティを重視した設定をすることに設置屋に利がない。
Re: (スコア:0)
作業費ぼったくるならむしろ何度も呼んでもらうことこそ正義。
パスワード設定して利用者側にはそのパスを教えないとかまでやると、
自力で設定できる人間ですら手を焼く状況に追い込める。
# PCデポ
Re: (スコア:0)
後でクレーム電話で呼び出されタダで作業させられることが不可避な安い単発仕事だからこそ、予防線として付箋にパスワードなんですよ。
依頼者のITリテラシーはサル並だから正論は通用しない。
ボッタクれる高い仕事はコンサル契約して都度費用がかかる旨まで合意済み案件だけ。
Re: (スコア:0)
# ちゃんと#でネタバレしといたのに……
Re: (スコア:0)
パスワードを聞いて設定しても文句言う人がいるんだよなあ。
iTmedia [itmedia.co.jp]
togetter [togetter.com]
多くの人は1つのパスワードを使いまわす (スコア:0)
パスワードを聞かれることの抵抗は、セキュリティマニアより、一般人の方が高いと思われる。
何故ならばセキュリティマニアにとっては、そのサービスのパスワードを聞かれているだけとしか感じないが、
一般人からすると、オンラインバンキング・銀行などとも共有している「共通の唯一の自分のパスワード」を聞かれているように感じるからだ。
勝手にランダムに設定して紙に書いて渡し、ついでに付箋で機器に貼り付けておくのが最適解だろう。
Re: (スコア:0)
んなことはない。
記事にもあるように、ドコモとかでホイホイパスワード教えてるよ、客は。
ソースは嫁。
GoogleまたはAppleアカウントの問題でショップに来るからな。
もう全部おんぶに抱っこよ。
家族に詳しい人がいればないだろうけどね。
Re: (スコア:0)
口頭で入力情報を伝えることの面倒くささと不正確さときたら…。
サポートやったことあれば紙に書かせたくなるわな。