ネット接続された脆弱な重要インフラIoT機器が150件 - 4分の3は連絡つかず

総務省は、重要インフラで用いられており、インターネットからアクセスできる脆弱なIoT機器について調査を実施し、150件が見つかったことを明らかにした。関係者を特定し、注意喚起まで行えたケースは、約4分の1ほどだったという。

同調査は、2017年9月から2018年3月にかけて、ICT-ISACと横浜国立大学などが協力し、重要インフラで利用されるIoT機器の実態について調べたもの。

おもにTCP 80番ポートに対してアクティブスキャンを実施。機器の動作へ影響することも配慮し、パスワードが適切に設定されていない機器や、パスワードを設定しているものの、認証画面がインターネット上で公開されているものを脆弱な機器として検出した。

具体的な調査の流れとしては、ウェブインタフェースにアクセスできた場合、記載された情報などから所有者を特定。コンタクトをとり、関係者の同意のもと、機器の設置環境や設定状況、システム構成などの現地調査を実施。さらに類似案件に対しても電話やメールによるヒアリング調査を行った。

（Security NEXT - 2018/07/02 ） ツイート

PR

関連記事

工場スマート化のリスクや対策を解説したガイドライン別冊資料
JSSEC、3月に「セキュリティフォーラム2024」開催 - 「生成AI」などテーマに
「メタバースセキュリティガイドライン」の第2版が公開
11月15日より「EdgeTech+ 2023」を開催 - セキュリティ関連の出展も
狭き門を突破した講演並ぶ「CODE BLUE」が開催中
IoTセキュリティの規制動向など共同研究 - PwCと情セ大
スマート工場のセキュリティ対策事例 - IPAが調査報告書
「情報セキュリティ白書2023」を7月25日に発売 - PDF版も公開予定
「セキュキャン全国大会2023」、合宿形式で8月に開催
「スマートホームIoTデータプライバシーGL」を策定 - JEITA