講演抄録/キーワード |
講演名 |
2022-11-08 09:25
脆弱なIoT機器管理用パスワードの設定状況と注意喚起効果の分析 ○村上洸介(NICT/KDDI総合研究所)・笠間貴弘・井上大介(NICT) ICSS2022-42 |
抄録 |
(和) |
TelnetやSSHといったパスワード認証が有効なサービスがインターネット側からアクセス可能で,容易に推測可能なID/パスワード設定となっているIoT機器がマルウェア感染し,サイバー攻撃に悪用される事例が発生している.そのため,パスワード設定に不備のある日本国内のIoT機器を探索し機器所有者に注意喚起を行うNOTICEプロジェクトが2019年より開始され,継続的な注意喚起が行われている.
また,今後普及するIoT機器に同様の被害が発生するリスクを軽減するために,2020年に施行された新たな技術適合基準において,IoT機器のセキュリティ要件としてアクセス制御機能に係る初期設定の識別符号の変更を促す機能または機器ごとに異なる識別符号が付されていることが要件として追加された.
しかしながら,IoTマルウェアが容易に推測可能なID/パスワードを用いて感染することは広く知られている一方で,実際に感染した機器のユーザがデフォルト設定のまま運用していたのか,それともユーザ自身によって容易に推測可能なID/パスワードを設定した結果として被害を受けたのかは明らかではない.
仮にデフォルト設定では無くユーザ自身が脆弱なID/パスワードを設定してしまっている場合,パスワード変更を促すだけではIoTマルウェア感染の被害を軽減するためには不十分となる危険性がある.
そこで,本稿ではNOTICEの調査結果より,実際に機器へのログインに成功した際のID/パスワードが当該機器のデフォルト設定であるか否か調査を行った.また,継続的な調査結果を基に注意喚起を受けたユーザの対処状況について分析を行った. |
(英) |
IoT devices with weak ID/Password settings that are accessible from the Internet by services that enable password authentication, such as Telnet and SSH, have been infected with malware and exploited in cyber attacks.
Therefore, the NOTICE project, which surveys IoT devices with weak ID/Password settings in Japan and alerts device owners, has been launched in 2019, and continuous alerts are being issued.
In addition, to reduce the risk of IoT devices to be released in the future, new security requirements for IoT devices were added to the technical conformity standard in 2020, including the ability to prompt a change in the identification code of the access control function or to set a different identification code for each device.
However, while it is widely known that IoT malware can be infected by weak ID/Password pairs, it is not clear whether the infected devices were used with their default settings or whether the users of the devices set weak ID/Password pairs.
If a user has set a weak ID/Password, simply providing a function that prompts the user to change the password may not be sufficient to mitigate the damage from IoT malware infection.
In this paper, based on the results of the NOTICE survey, we analyzed whether the ID/Password of the device was the default setting or not. We also analyzed the results of user actions based on the logging in by the NOTICE survey and the alert. |
キーワード |
(和) |
IoT機器 / パスワード設定 / NOTICE / / / / / |
(英) |
IoT Device / Password Settings / NOTICE / / / / / |
文献情報 |
信学技報, vol. 122, no. 244, ICSS2022-42, pp. 25-30, 2022年11月. |
資料番号 |
ICSS2022-42 |
発行日 |
2022-10-31 (ICSS) |
ISSN |
Online edition: ISSN 2432-6380 |
著作権に ついて |
技術研究報告に掲載された論文の著作権は電子情報通信学会に帰属します.(許諾番号:10GA0019/12GB0052/13GB0056/17GB0034/18GB0034) |
PDFダウンロード |
ICSS2022-42 |
|