「SHODAN」を正しく使おう――IPAがレポート公開：意図せぬオフィス機器が見えていないかをチェック

情報処理推進機構は2014年2月27日、「増加するインターネット接続機器の不適切な情報公開とその対策」と題するレポートを公開した。

[高橋睦美，＠IT]

　情報処理推進機構（IPA）は2014年2月27日、「増加するインターネット接続機器の不適切な情報公開とその対策」と題するレポートを公開した。インターネットに接続しているさまざまな機器を検索できるWebサービス「SHODAN」を用いて手元の機器を確認し、外部からの不要な通信を遮断するなど、適切な対策を取るために活用する方法を紹介している。

　「Internet of Things」という言葉に代表される通り、PCやサーバー、ネットワーク機器以外にも、インターネットに接続されるオフィス機器や家電製品、組み込み機器が増加している。ガートナーの調査によるとその数は、2009年の9億台から2020年には260億台に達すると予測されている。

　このようなオフィス機器、例えばデジタル複合機やネットワーク対応HDD、Webカメラなどは、PCなどと同様に、LinuxやBSD系UNIX、あるいはWindowsなどのOSをカスタマイズした形で搭載しており、その上でWebサーバーやファイル共有サーバー、メールサーバーなどのアプリケーションが動作している。

　こうした機能は、外部からの遠隔操作を可能にするといった利便性の面から搭載されたものだ。だが、「初期設定のまま運用する」「アクセス制限を講じていない」など、不適切な設定などが原因となって不正アクセスを受け、データの漏洩や設定情報の変更、踏み台化といった被害を受ける可能性が指摘されている。

　IPAは、オフィス機器に関連したセキュリティ事故の多くは、「適切に機器が設定されていれば、本来問題は発生しにくいと考えられる」と指摘。まずは「知らずに不適切な設定でインターネット上に公開している自組織の機器を発見し、速やかに対処し、攻撃の糸口を断ち切ること」が重要だと述べている。

　公開されたレポートではそのための手段として、インターネットに接続している機器のIPアドレスやホスト名、OSやポート番号、バナー情報などを検索できるWebサービス、SHODANに注目。攻撃者による悪用を問題視するよりも、先立って自ら管理下のネットワークを検索し、「管理者が把握していない機器が存在しないか」「利用しない機能が公開されていないか」をチェックする方法を紹介している。その上でさらに、「管理の明確化」「ネットワークによる保護」「オフィス機器の適切な設定」といった対策を推奨している。

　また、機器の入れ替えなどによってネットワーク環境は常に変動することから、SHODANやペネトレーションツールを用いた検査を定期的に実施することも必要だとしている。