推測されやすいデフォルトパスワード禁止へ…イギリスで新法施行

セキュリティニュース
ここで紹介するニュースは、ほとんどの場合下記の方法で対策できます。
〇 OS、アプリケーション、アンチウイルスのデータベース等を常に最新の状態に保つ
〇 UTM導入等によるネットワーク全体の防御を行う

– 5/8号 目次 –

01. 推測されやすいデフォルトパスワード禁止へ…イギリスで新法施行


02. 消し忘れていたテスト用アカウントから侵入…サーバーがランサムウェア感染


03. 終了サービスが不審なサイトに? 原因はサブドメイン名の削除忘れか

推測されやすいデフォルトパスワード禁止へ…イギリスで新法施行

– 4月29日(現地時間)、イギリスにおいて「製品セキュリティおよび通信インフラストラクチャー法(PSTI法)」が施行されました。

– 同法では、電話・テレビ・スマートドアベル等のIoT機器メーカーに対し、サイバー脅威に対する最低限のセキュリティ基準の導入を義務付けるとし、例えばIoT機器のデフォルトパスワードとして「admin」「12345」といった推測されやすいものの設定を禁止するとしています。

– 同法は2022年に成立したもので、イギリス政府では「英国の消費者と企業をハッキングやサイバー攻撃から守るための世界初の法律」としています。

[ 出典 ]
https://gigazine.net/news/20240430-uk-bans-default-passwords-iot-devices/
https://internet.watch.impress.co.jp/docs/yajiuma/1588493.html
https://www.gov.uk/government/news/new-laws-to-protect-consumers-from-cyber-criminals-come-into-force-in-the-uk

AUS便りからの所感 AUS便りからの所感

国内外製のルーター・NAS等において、あるいはソフトウェアでもLinuxディストリビューションのインストール時等において、デフォルトのパスワードが簡単なものであったり、そうでなくても同品番の全ての機器で同じであるケースは珍しくなく、そういったデフォルトパスワードの情報を集めているWebサイトも存在します。

攻撃者は、オープンポートや管理画面等に外部からアクセス可能な機器が検索可能な「Syodan」「Censys」等のサイトも利用し、パスワードが変更されていない機器がないか日々探し回り、侵入の機会を窺っていることでしょう。

あらゆるサーバーからネットワーク機器に至るまで、導入時には必ず管理者パスワードをデフォルトのものから機器ごとに異なるかつ推測されにくいものに変更することが肝要です。

消し忘れていたテスト用アカウントから侵入…サーバーがランサムウェア感染

– 4月23日(日本時間)、アクセサリー・パーツ販売業のエンドレス社より、同社サーバーが不正アクセスを受け、ランサムウェア「LockBit」に感染したと発表されました。

– 発表時点で社内情報の流出の事実は確認されておらず、またサーバーに顧客情報は入っていなかったとしています。

– 感染に至った原因として、UTM導入を委託したスターティア社が使用していたテスト用アカウントを削除していなかったためとしています。

[ 出典 ]
https://www.itmedia.co.jp/news/articles/2404/24/news181.html
https://endless-inc.jp/blogs/news/20240423
https://www.startia.co.jp/news/detail/?id=1868&site_name=startia

AUS便りからの所感 AUS便りからの所感

委託先会社に不手際があったと名指しで指定する事態となっており、同26日にはスターティア社からも本件について発表がありました。

テスト用か否かに拘らず、パスワードはもちろんIDが推測されやすいものは攻撃者にターゲットとされやすいため、導入前のテスト段階から複雑なものであるべきです。

また、任意のアクセス元からSSHによってサーバーにログインするような場面では、既にIDとパスワードのみでの認証は推奨されず公開鍵による認証が一般的となっており、UTMを経由してのVPN接続においてもユーザー毎に証明書を発行したり、その他の多要素認証の導入が強く推奨されます。

終了サービスが不審なサイトに? 原因はサブドメイン名の削除忘れか

– 5月7日(日本時間)、X(旧Twitter)において、Tポイント(現・Vポイント)がかつて提供していたサービスの一つ「Tチャット」の旧サイトで不審なサイトが表示されたとする事例が報告されました。

– Tチャットは2022年12月に終了していましたが、当該サービスで使われていた「tchat.tsite.jp」へのアクセスにより、英語等のニュースを転載するサイトが表示されていました。

– 「tchat.tsite.jp」は同日中にDNSが引けなくなり、対策された模様です。

[ 出典 ]
https://twitter.com/tss_0101/status/1787691268010823762
https://megalodon.jp/2024-0507-1253-14/https://www.google.com:443/search?q=site%3Atchat.tsite.jp&tbm=vid&hl=ja
https://web.archive.org/web/20231119153349/https://tchat.tsite.jp/

AUS便りからの所感 AUS便りからの所感

上記サイト内では他にも外部の動画サイト等にリダイレクトするページもあったとみられ、またインターネットアーカイブでは、2023年11月時点でインドネシア語のオンラインカジノサイトとなっていたことが記録されています。

「tchat.tsite.jp」はDNS上ではCNAMEレコードとなっており、AWS上のホストを参照していましたが、参照先のホストを解約した後もCNAMEが有効のままで、かつ第三者が同じホスト名で登録を行ったために、別のホストが表示されるようになった可能性が指摘されています

この攻撃手法は「サブドメインテイクオーバー」と呼ばれ、独自に取得したドメイン名が失効した後で第三者に取得される「ドメインドロップキャッチ」と類似した攻撃手法である一方、第三者がどちらを乗っ取る攻撃かに違いがあります。

不要になったDNSレコードを削除することが最も確実な対策と言えますが、いずれにしろサブドメインからWebサーバー等の契約まで一貫した管理を行うことに越したことはありません。