皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

昨今、インターネットに接続されたIoT機器がサイバー攻撃を受ける被害が多発しています。

それを受けてと思われますが、NICT（国立研究開発法人情報通信研究機構）が事前調査を行うようです。

NICTによるIoT機器等の事前調査実施

国立研究開発法人情報通信研究機構（NICT）は、パスワード設定等に不備のあるIoT機器の調査等をNICTの業務に追加（５年間の時限措置）する「電気通信事業法及び国立研究開発法人情報通信研究機構法の一部を改正する法律」が今月1日に施行されたことを受け、同調査等の業務の実施（今年度内に開始予定）に向けた検討、準備を進めてまいります。
今後の具体的な検討にあたっては、日本国内でインターネットに接続されたIoT機器等につき、当該接続状況などの全体的な傾向、概数等を把握する必要があることから、ポート開放状況の把握など、現状に関して、事前の準備のための調査を実施することといたします。

このように、NICT（国立研究開発法人情報通信研究機構）が来週の14日から事前調査を実施するようです。

事前調査の内容としては、日本国内のIPv4アドレスを対象に、以下のポートスキャンが実施され、ポートの開放状態のアドレス数の規模などが調査されます。

・22Port/TCP（SSH）

・23Port/TCP（Telnet）

・80Port/TCP（HTTP）

・etc…

また、ポート開放状態のアドレスに対してバナー情報（機器自身が公開しているサービスの種類やバージョンなどを知らせるメッセージ）の取得を行い、サービス種類やバージョン情報、機器種別などの状況調査を行うとしています。

事前調査に使用されるIPアドレスは以下の通りです。

210.150.186.238

122.1.4.87
122.1.4.88

このIPアドレスから実施されます。

以上、ご参考までに。

日本にも、とんでもない数のサイバー攻撃を日々受けています。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

以前にも、『インターネットはサイバー戦争』という記事にて触れましたが、インターネットの世界をリアルタイムでモニタリングすると、すさまじい勢いで世界的にサイバー攻撃がなされています。

当然、日本に向けられたサイバー攻撃もとんでもない数になっています。

さて、ここで注目したいのは、一番攻撃を受けているのは何か？というところです。

23番ポートへの攻撃はNo.1

NICT（国立開発研究法人情報通信研究機構）のサイバーセキュリティ研究所が公開しているデータを見ると、昨年のダークネット観測パケット数の年間統計では、約1,281億ものパケットが観測されています。

そして、昨日のパケット数に目を向けると、No.1は23番ポートに対する8,108,510パケットで全体の37%も占めていました。

この23番ポートというのは、リモートメンテナンスなどの遠隔操作で使われる『telnet』用のポート番号で、暗号化されていない平文ベースの通信を行うものになります。

そこが一番狙われいているということです。

この『telnet:23番ポート』は、未だ多くのネットワーク機器においてメンテナンス用として残っていることが多いのですが、これは必要がなければ閉じてしまうべきです。

ただし、外部業者などから遠隔操作におけるメンテナンスを受けている場合は業者と協議せざるを得ません。

昨今のセキュリティソフトには、ネットワークに危険性があるのか否かを調査するツールがあったりもしますが、これはツールによって検知の仕方が異なりますので、それで問題がなかったからと言って絶対とは言えません。

現に、とあるメーカーのルータを確認したところ、A社のソフトでは問題が出ず、B社のソフトでは問題が発見されました。

このような場合においては、WAN側、LAN側、ともに23番ポートを内向きにすべてを拒否（廃棄）する設定を加えてあげなければポートは開いたままになりますので、万が一狙われてしまった場合においては被害を受ける可能性があるということになります。

そういったことにならないためにも今すぐ確認をし、やむを得ない理由がないのであればすぐに閉じてしまうことをお勧めします。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

今の時代、あらゆるところにインターネットに接続されたIoTデバイスが存在し、それが便利なものとして活用されています。

しかし、便利であることとは裏腹に、リスクも増加しているのです。

IoTデバイスに存在するもの

そんなIoTデバイスに存在するものとして、Telnetというものがあります。

Telnetとは、ネットワークに接続された機器を遠隔操作するために使用するソフトウェア、またはそれを可能にするプロトコル（通信規約）のことを言います。

このTelnetは、すべての通信を暗号化せずに平文のまま送信するため、セキュリティ的な観点から考えるとリモート通信方法としての利用は推奨できないものですが、多くのIoTデバイスにはそれが存在します。

そして、さらに悪いことに、これらのIoTデバイスへのログインIDやパスワードがデフォルト（初期値）のまま使われていることが多いという現状もあります。

※　ログインIDやパスワードは、デフォルトが公開されているものも多くあるため、必ず変更しておく必要がありますが、IDなどは固定化されてしまっているものもあるため脆弱です。

IoTデバイスにおいてすべきこと

IoTデバイスにおいて最低限やっておきたいこととしては以下のことがあります。

１．Telnetは原則止めておく（Telnetポートを閉じておく）

２．IDやパスワードをデフォルトから変更しておく

３．脆弱性修正やファームウェア更新は必ず行う

また、ある実験結果によると、IoTデバイスがマルウェアに感染してしまった場合に以下の方法で駆除に成功したという事例もあるようです。

１．IoTデバイスを再起動

２．主電源を切る

３．工場出荷時の状態に戻す

これを行うことによって駆除に成功したデバイスもあるため、万が一の際は行ってみるのも1つの手でしょう。

ただし、工場出荷時に戻した際は機器設定がデフォルトに戻ってしまうため、再設定を行う必要があります。

皆さん、こんにちは。

業務改善を行う業務コンサルタント、高橋です。

今日は、セキュリティ意識がもっと高まればと思い、リアルタイムで見たサイバー攻撃に関することをお話しします。

リアルタイムなサイバー攻撃

インターネットにおけるサイバー攻撃をリアルタイムでモニタリングすると、すさまじい勢いで世界的に攻撃がなされています。

モニタを見ていると、まさにインターネット上での戦争状態です。

それは、たった1秒間においてもものすごい数で、これがアナログな世界で起きてしまったことを想像すると、世界の終わりを感じるくらいのものです。

攻撃のタイプは多岐にわたる

これらの攻撃に関しては非常に多岐にわたりますが、中でも多いのは以下のタイプです。

smtp/25ポート、http-alt/8080ポート、telnet/23ポート、mysql/3306ポート、ntp/123ポート、http/80ポート、ms-wbt-server/3389ポート、microsoft-ds/445ポートなどが上位を占めていたりしますが、攻撃のタイプは多岐にわたっているため、当然これ以外の攻撃タイプもあります。

これらへの対応として、最近ではsmtp/25ポートを禁止することなどは当り前のように行われており、代わりにSTARTTLS/587ポート、もしくはSMTP over SSL/465ポートを使ってメール送信における通信を暗号化する対応がとられています。

遠隔操作におけるftp/20・21ポートやtelnet/23ポートに関しても同じで、ssh/22ポートを使った暗号化通信にて行うことが求められます。

これだけではありませんが、自社内のネットワークにおいて何が使われているのか、何が開放されているのかなどを把握し、いずれにおいても安全性の高いものを選択をすることが重要です。

皆さん、こんにちは。

業務改善を行う業務コンサルタント、高橋です。

今日は、先々週にJPCERTより出された『Webサイト改ざんに関する注意喚起』に関してです。

Webサイト改ざんに関する概要

JPCERTでは、Webサーバに不正なファイルを設置することで、アクセス回数や閲覧者などWebサイトの利用状況等についての調査活動を行う目的で、国内の複数のWebサイトを改ざんしているという情報を得ているようで、具体的には以下ことを行っているようです。

・Webサーバに不正なファイルindex_old.phpを設置し、Webサイトのトップページに不正なファイルを読み込ませる処理を追加する

<script type=”text/javascript” src=”.index_old.php”></script>

・利用者がWebサイトを閲覧すると、上記不正ファイルが実行され、閲覧者のIPアドレス、閲覧日時等がログとして記録される

この調査活動は、Webサイトの利用状況等の調査のほか、水飲み場型攻撃などサイバー攻撃の踏み台としての悪用可否を確認していると見られるとのこと。

Webサイトの管理者は、管理しているWebサイトのコンテンツが改ざんされていないかを確認し、必要な対策を施すことを促しています。

Webサイト改ざんに関する対策

具体的な対策に関しては、以下のことが紹介されています。

・Webサーバで使用しているOSやソフトウェアのセキュリティアップデートを実施する

・20,21/TCP（FTP）ポート、23/TCP（TELNET）ポートを無効化し、SSHなどのセキュアなプロトコルにてWebサイトのメンテナンスを実施する

・Webサイトのコンテンツ更新を運用で使用する特定のPC（IPアドレス）からのみ実施出来るように制限する

・Webサイト更新用のアカウント（SSH/CMS等）のパスワードを強固なものに変更する

・Webサイトのコンテンツのバックアップを取得し、差分確認を定期的に実施する

どれも基本的なことではありますが、Webサイト改ざんをされないためにも今一度見直しをしてみてください。