Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。諸々のお問合せ(取材、執筆、各種お問合せ等)はフォックスエスタ (https://foxestar.hatenablog.com/)をご覧ください。

重要インフラのサイバー対策不備

読売新聞にダムや鉄道などの遠隔操作監視のIoT機器がサイバー攻撃対策が出来てないとの記事が出ていました。

www.yomiuri.co.jp

 

f:id:foxcafelate:20180707164208j:plain

(読売新聞記事より引用)

 

ダムや鉄道など重要インフラ(社会基盤)を遠隔地で監視するために設置している150件のインターネット接続機器(IoT機器)に、サイバー攻撃対策の不備が見つかったことが総務省の調査で分かった。パスワードが設定されていないなど無防備な事例もあった。総務省は国民生活に身近な重要インフラの安全対策の強化を促すため、2019年により詳細な調査を実施する方針だ。

 

ネットを使って不備がないか洗い出す手法で調べたところ、ダムの水位を監視する装置のほか、火山に設置されたガスの警報装置、鉄道など公共工事の現場の消費電力を監視する装置など150件のIoT機器でサイバー攻撃への備えが十分ではなかった

(読売新聞記事より引用)

 

◆キタきつねの所感

何となく、その結果はありそうだと思いました。この記事を見て、思い出したのがWebカメラの状況。某海外のサイトには、管理されていない(パスワードが設定されてない又は初期パスワードの)Webカメラが多数あり、それが掲載されて(晒されて)いるサイトがあります。

 

たまに見ているのですが、直近では5月に同じく読売新聞の記事を受けて調べてます。

foxsecurity.hatenablog.com

ダムあるいは鉄道の所轄官庁は、国交省になる訳ですが、そういえば以前調べた時に多くの「河川」や「港」を映しているカメラが出ていたなと思ったので、改めて調べてみました。

 

f:id:foxcafelate:20180707190143j:plain

 

5月に調べた時は1911台のカメラが掲載されてましたが、今回は2169台。まだまだ脆弱なカメラはたくさんあるようです。今回は時間が取れたので、一通りどんな映像があるか見てみました。掲載されている多くは駐車場の監視カメラとマンション等の外部を映している防犯カメラ、ゴルフ場などでしたが、店舗や会社の中を映したカメラはそれなりにありましたし、床屋店内の映像もありました。またコインランドリーの監視カメラも少数ですが確認しました。

重要インフラという点では、流石に施設の内側の写真はありませんでしたが、、、やはり記事にあるように、管理をあまり考えて無いカメラというのはありました。

国交省の管轄で言えば(ダムは確認できませんでしたが)大きな河川の監視カメラや、港湾の監視カメラは確認できました。一部地方自治体の管轄のものもあるかもしれませんが、、、例えばこんな感じです。

f:id:foxcafelate:20180707190204j:plain

f:id:foxcafelate:20180707190210j:plain

f:id:foxcafelate:20180707190213j:plain

f:id:foxcafelate:20180707190227j:plain

f:id:foxcafelate:20180707190239j:plain

f:id:foxcafelate:20180707190304j:plainf:id:foxcafelate:20180707190319j:plain

f:id:foxcafelate:20180707190307j:plain

f:id:foxcafelate:20180707190310j:plain

f:id:foxcafelate:20180707190313j:plain

f:id:foxcafelate:20180707190316j:plain

 

流石に鉄道はJR等の民間企業管轄ですので、管理レスのカメラは無いだろうと思っていたのですが・・・いくつか掲載されていました。

f:id:foxcafelate:20180707190148j:plain

f:id:foxcafelate:20180707190151j:plain

f:id:foxcafelate:20180707190207j:plainf:id:foxcafelate:20180707190216j:plain

f:id:foxcafelate:20180707190322j:plain

 

何と、驚く事に新幹線の車両基地と思わしきカメラも1台ありました。

f:id:foxcafelate:20180707190241j:plain

 

空港らしき映像も1台確認しましたし、

f:id:foxcafelate:20180707190201j:plain

しましたし、フェリーの案内板を映しているらしきものも1台確認しました。

f:id:foxcafelate:20180707190328j:plain

 

外部に繋いでいる監視カメラでこの管理レス状態(これでもごく一部でしょうが)ですので、重要インフラの内部システム、あるいはセキュリティ対策が求められるべき機器については、同様な問題を多数抱えているのは想像できます。

個人的には、この様な重要インフラを管轄する国交省は、読売新聞の調査記事、あるいはこうした管理レスカメラなどの情報をベースに、特に外部に接続する機器の初期パスワードは変更すべき」という極めて当たり前のルールを改めて徹底的に通達、、、のみならず必要なら監査すべきだと思います。

それが出来ないのであれば、機器調達条件に、Wifiルータの様に1台づつ初期パスワードが違う設定の機器を選定すべき・・・(まぁ現時点では監視カメラには無いでしょうが)等々、メーカーがセットした初期パスワード(共通パスワード)を変える事をガイドライン化する事を考えるべきかも知れません。

重要インフラのサイバー対策は、企業・組織によってバラつきがある。つまり襲われる所が出てしまうかも知れない。「初期パスワードは変えるべし」と単に通達を出すだけでは、やらないプレーヤーがいる。この様な現状を理解した上で、

総務省は国民生活に身近な重要インフラの安全対策の強化を促すため、2019年により詳細な調査を実施する方針だ。

(読売新聞記事より引用)

 

各組織に強化を促す詳細調査を実施といった悠長な事を言っている前に、もっと業界をリードしていかないと・・・対策が整う前に、事故事例が増えていってしまう事を懸念します。

 

 

黒部ダムのイラスト

更新履歴

  • 2018年7月7日PM(予約投稿)