メニュー
おすすめコラム

2019年7月16日
常識を疑え!ハッカー視点のセキュリティ
筆者)株式会社トライコーダ 上野宣

第17回 意外と多いデフォルトパスワードによる侵入とその被害

ネットワーク越しにシステムに侵入する方法は大きく分けて2つあります。
1つは脆弱性などを突いての侵入、もう1つは認証を突破して侵入する方法です。
この後者の方法の中でも多いのが、機器を購入したときに設定されているままのデフォルトパスワードで運用されていて、それを悪用されて侵入されてしまうという場合です。

大規模DDoS攻撃に悪用された端末はデフォルトパスワードだった

2016年10月に米国のセキュリティジャーナリストのWebサイトや、Twitterなどが使うDNSサーバプロバイダなどに対する大規模なDDoS攻撃がありました。その攻撃の規模はとても大きく、620Gbpsに達したとも言われています。
この大量アクセスを浴びせかけるDDoS攻撃に利用された端末は、Miraiというマルウェアによって乗っ取られたものが使われました。その端末の多くは、Webカメラやルータ、ビデオレコーダーなどのいわゆるIoTデバイスでした。世界中に存在するインターネットに接続されたこれらのIoT機器から一斉にDDoS攻撃が行われたのです。

なぜ、それらの端末は乗っ取られたのでしょうか?
インターネットに接続されているこれらのIoT機器には、リモートから設定などを行うためのTelnetというサービスが提供されています。もちろん、管理者以外がログインできないようにするためにユーザ名とパスワードによる認証が必要になります。
インターネット上で公開されていたMiraiのソースコードを見ると、ランダムに生成されたIPアドレスのTelnetサービスに対して不正にログイン可能かどうかを試みる仕組みがあります。もちろんTelnetでは認証は行われるわけですが、Miraiのソースコードには62パターンのユーザ名とパスワードの組み合わせが記載されていました。この62パターンの組み合わせのうちの多くは、さまざまなIoT機器などのデフォルトユーザ名とパスワードの文字列の組み合わせだったのです。

Miraiのソースコードに記載されていたユーザ名とパスワードは「root / xc3511」や「root / pass」、「admin / 1111」などのような組み合わせでした。最初の「root / xc3511」という組み合わせは、中国の電子機器メーカーのWebカメラのデフォルトユーザ名とパスワードです。
つまり、マルウェアに乗っ取られた端末の多くは、機器を購入した状態のままのデフォルトパスワードで運用されていて、そのセキュリティレベルの低さを狙われたのです。

デフォルトパスワードはあなたのオフィスにもある

Miraiの事例は特別なものではありません。筆者はペネトレーションテストを実施していますが、テスト中にさまざまなシステムに対して侵入が可能かどうかを試します。脆弱性を利用して侵入を行うこともありますが、デフォルトユーザ名とパスワードを用いた侵入も数多く経験しています。
ネットワークに接続可能な監視カメラや複合機などのオフィス機器や、入退室管理やスマートロックのシステムなどのIoT機器にデフォルトのままの運用が多い印象です。実際、これまでペネトレーションテストを実施したほとんどの企業でその存在を発見しました。

対象となる機器のデフォルトパスワードをどのようにして探すのでしょうか。
さまざまな機器のデフォルトパスワードをまとめて公開しているWebサイトも存在しますが、Googleなどの検索エンジンを使って製品マニュアルなどを探します。マニュアルの中を「パスワード」、「ネットワーク設定」、「初期化」、「工場出荷時設定」などで検索すれば、デフォルトユーザ名とパスワードが記載されていることがほとんどです。

今後はデフォルトパスワードのIoT機器が減るかもしれない

IoT機器を購入した企業などの運用のレベルの低さを嘆いても根本的な解決はしません。ユーザに高いセキュリティレベルを求めるのは容易ではありません。重要なのはデフォルトパスワードなどのまま運用できる機器の方にあると言えるでしょう。

米カリフォルニア州ではこのような被害を防ぐべく、ネットワーク接続可能な機器を攻撃者から保護する法律が2020年1月1日から施行されます。この法律は、製品のデフォルトパスワードは1台1台異なるものにするか、ユーザが最初に使用する際に強制的に変更する機能を求めるものです。
まだ1つの州の法律ではありますが、カリフォルニア州にはGoogleやAppleなどの名だたる企業がありますので、その影響は軽微なものではないはずです。デフォルトパスワードのまま運用される機器がなくなるのは、世界的な潮流となる可能性が高そうです。

もちろん現在運用中の機器はデフォルトパスワードのままかもしれませんし、デフォルトパスワード以外の安易なパスワードも破られる可能性があることを忘れてはいけません。

Copyright © NEC Fielding, Ltd, 2019. All rights reserved.