パスワードを忘れた? アカウント作成
13948459 story
インターネット

総務省、IoT機器調査「NOTICE」の実施状況を発表 34

ストーリー by hylom
多いのか、少ないのか 部門より

情報通信研究機構(NICT)がポートスキャンによる脆弱性調査(NOTICE)を行うことが以前報じられていたが、このポートスキャン実施状況が公表された(総務省の発表

これによると、調査対象IPアドレス約9000万件のうちID・パスワードが入力可能だったものは約3万1000~4万2000件で、うち147件は容易に推測されるID・パスワードでのログインが可能だったという。

NICTはマルウェアに感染しているIoT機器の特定およびその情報のISPへの通知も行っているが、こちらについては1日あたり112~155件が対象になったという。

  • by hohoho (14727) on 2019年07月02日 17時28分 (#3644501)
    総務省のページ、設定と管理のあり方
    http://www.soumu.go.jp/main_sosiki/joho_tsusin/security/basic/privacy/01-2.html
    こちらに、詳しく書いていますね。

    容易に推測されるID・パスワードでのログインが可能のいる理由が

    ・総務省の広報が足りない、と、考えるのか
    ・総務省のHPは読まれても、実践されていない、と考えるのか

    いずれでも、今回の実施状況結果は、誰かが利用してくれるのだろうか?
    ここに返信
    • Re:電気グルー (スコア:3, すばらしい洞察)

      by Anonymous Coward on 2019年07月02日 20時28分 (#3644634)

      初期パスワードを放置するユーザーならば、わざわざ総務省サイトを見ないと思われる。
      取説も読まないに違いない。

    • by Anonymous Coward

      こういう啓蒙活動を継続的に続けてくれるのはありがたい。
      新入社員向け教育資料として非常に役に立つ。
      政府機関の手により更新改版され続けていると言うことが重要。

    • by Anonymous Coward

      多くのユーザーはそもそもデフォルトパスワードを変更しない

      よって、個人向けIoT機器に求められるのは、
      メーカーが最初からランダムパスワードを設定して出荷すること
      筐体にランダムな初期パスワードを書いたシールを張っておけばいい

      また、機器にグローバルIPアドレスが振ってある場合、標準でおなじサブネット内からしか設定できないみたいな
      制限があってもいいとおもう

  • by Anonymous Coward on 2019年07月02日 19時32分 (#3644601)

    >容易に推測されるID・パスワードでのログインが可能だった

    容易に推測できればログインしても不正アクセスにならないの?

    ここに返信
    • by Anonymous Coward on 2019年07月02日 20時24分 (#3644626)

      体制側(総務省)ならok。という法律できた。
      事前に関係省庁に根回ししてから実行したんでしょうね。

      電気通信事業を所管する省庁は何処だっけ?

    • by Anonymous Coward

      ハニーポットで補足監視していた人の話では「ログイン出来たらすぐ立ち去る」というのは嘘の説明で、実際はechoコマンドを実行して動作まで確認していたそうです。

      他人のコンピュータに侵入するテストまでは合法化しても、コマンドを実行してリソースを消費させる行為は違法なので、神奈川県警さん、出番ですよ。

  • by Anonymous Coward on 2019年07月02日 18時06分 (#3644537)

    少しShodanで検索するだけでもデフォルトID/PWで侵入可能な日本の機器はごまんと見つかる。本当に調査できているのか?

    ここに返信
  • 昔はメーカーが設定したデフォルトパスワードがありましたが、今は初期設定の時に強制的にパスワードを設定させられる機器が増えてきた影響で、
    業者が初期設定した場合、初期パスワードは、個人宅なら「名字」、法人なら「会社名」にされることが多いですね。

    田中さん宅だと、
    『パスワードは「tanaka」にして、ポストイットで機器に貼り付けておきました^^
     もし必要であれば、変更してくださいね^^」
    みたいに勝手に名字にされちゃいます。
    「もし必要であれば、変更」は責任回避のための言い訳で、もし自分でパスワード変更できるスキルがあるならセットアップ代行なんて頼まないでしょう。

    顧客にパスワード何にするか聞くと、顧客が考える時間待機しないといけなくなるので、勝手に設定しちゃうのでしょう。
    無論、文句言うとその場で変更してくれますけどね。

    代表的な名字って限られてますので、苗字でブルートフォースアタックかけたら結構突破できるんじゃないかな。

    ここに返信
    • > 代表的な名字って限られてますので、苗字でブルートフォースアタックかけたら結構突破できるんじゃないかな。

      細かいことを言うようだが、それブルートフォースじゃなくて辞書攻撃

    • by Anonymous Coward

      自分の時は電話番号だったなぁ。

    • by Anonymous Coward

      設置屋に丸投げするような奴がきちんとパスワード管理できるわけがない。
      絶対に忘れて後で業者呼び出すのだから、付箋にサルでも分かる単純パス書いておくのは当然だよ。

      セキュリティを重視した設定をすることに設置屋に利がない。

      • by Anonymous Coward

        作業費ぼったくるならむしろ何度も呼んでもらうことこそ正義。
        パスワード設定して利用者側にはそのパスを教えないとかまでやると、
        自力で設定できる人間ですら手を焼く状況に追い込める。
        # PCデポ

        • by Anonymous Coward

          後でクレーム電話で呼び出されタダで作業させられることが不可避な安い単発仕事だからこそ、予防線として付箋にパスワードなんですよ。
          依頼者のITリテラシーはサル並だから正論は通用しない。
          ボッタクれる高い仕事はコンサル契約して都度費用がかかる旨まで合意済み案件だけ。

          • by Anonymous Coward

            # ちゃんと#でネタバレしといたのに……

    • by Anonymous Coward

      パスワードを聞いて設定しても文句言う人がいるんだよなあ。

      iTmedia [itmedia.co.jp]

      togetter [togetter.com]

      • パスワードを聞かれることの抵抗は、セキュリティマニアより、一般人の方が高いと思われる。

        何故ならばセキュリティマニアにとっては、そのサービスのパスワードを聞かれているだけとしか感じないが、
        一般人からすると、オンラインバンキング・銀行などとも共有している「共通の唯一の自分のパスワード」を聞かれているように感じるからだ。

        勝手にランダムに設定して紙に書いて渡し、ついでに付箋で機器に貼り付けておくのが最適解だろう。

        • by Anonymous Coward

          んなことはない。
          記事にもあるように、ドコモとかでホイホイパスワード教えてるよ、客は。
          ソースは嫁。

          GoogleまたはAppleアカウントの問題でショップに来るからな。
          もう全部おんぶに抱っこよ。
          家族に詳しい人がいればないだろうけどね。

      • by Anonymous Coward

        口頭で入力情報を伝えることの面倒くささと不正確さときたら…。
        サポートやったことあれば紙に書かせたくなるわな。

typodupeerror

最初のバージョンは常に打ち捨てられる。

読み込み中...