Techcrunch Japan Logo

Sponsored Contents

securityの最新記事

Image credit:
Save

数千台の業務用冷凍庫が「デフォルトのパスワード」で操作可能な状態に

2020年からは「デフォルト」のID、パスワードを使った機器の製造・販売を禁止する州も

TechCrunch Japan Staff
2019年2月12日, 午後04:00 in security
60シェア
8
20
0
32

連載

注目記事

セキュリティ研究者たちは、遠隔から簡単に解凍を指示できる、インターネットに接続された何千台もの業務用冷凍庫をみつけた。

この脆弱性を発見した、セキュリティ研究者の一人であるNoam Rotemによれば、英国に本社を置くResource Data Management社によって製造された、7000台を超える脆弱な温度制御システムが、インターネットからアクセス可能であり、同社のウェブサイトのドキュメントに記載されたデフォルトのパスワードを入力することによって操作可能になっている。

これらの脆弱なユニットの多くは、英国、アイルランド、さらにはスウェーデン、ドイツ、中国などのレストラン、病院、スーパーマーケット、食料品店の業務用冷凍庫に搭載されていた。研究者たちはまた、マレーシアの製薬会社やドイツの冷却施設にも同ユニットを発見している。

こうした冷凍庫に解凍指示が出された場合には、予想できないほどの水害、経済的損失、そして在庫の破壊につながる可能性がある。高付加価値産業の場合には、その損失は膨大なものになる可能性がある。

「これらのシステムには、どのようなブラウザからでもアクセスすることができます」とRotemは記事中で述べている(この情報は彼が一般公開する前に、TechCrunchに伝えられた)。「必要なのは正確なURLだけです。私たちのテストが示しているように、それを見つけるのはそれほど難しくありません」。

Rotemによると、マシンを解凍するには単に「ボタンをクリックしてデフォルトのユーザー名とパスワードを入力する」だけであり、それらは同社のデバイス上でほぼ共通なものであるという。TechCrunchはShodanを使うことで、研究者が言う通り数百の冷凍庫を発見した(Shodanは一般アクセスが可能なデバイスやデーターベースを見つけることができる検索エンジンである)、しかしアカウントとパスワードを使ってアクセスすること自体は適法ではない可能性が高いため、実際のアクセスは行っていない。

Rotemによれば、公開されているデバイスの、ユーザー設定、アラーム、その他の機能を変更することも可能だという。

Resource Data Managementの担当者は、電子メールで以下のように回答している「システムのインストール時には、デフォルトのパスワードを変更する必要があることを文書で明示しています」。しかしながら、その変更は必須のものではない。Rotemによれば、デバイス所有者の多くはそれを変更していない。同社はまた、自身によるセキュリティの啓蒙にも熱心ではなかった。「私たちには、システムが設置者の方々によって、どのように設定されるかについて制御する手段がありません。この記事が私たちの機器の利用者や設置者の方々の目にとまって欲しいですね」と担当者は語る。「私たちは、新しい機能や特性を備えた新しいソフトウェアを入手できることを、オーナーの方々にお知らせはしますが、最終的にアップグレードを行うのはオーナーの皆さま自身です」。

同社は把握済の全ての顧客に対しては「デフォルトのユーザー名とパスワードを変更することの重要性を喚起する予定だ」と述べている。

なお来年以降、カリフォルニア州では、個々のデバイスに対して固有に設定されていない、弱いもしくはデフォルトのパスワードを使ったインターネット接続機器は、製造も販売も禁止される

[原文へ]
(翻訳:sako)



情報提供について
Engadget 日本版へのスクープ等の情報提供を希望される方は、こちらのフォームよりお知らせ下さい。内容を確認し、場合によっては編集部よりご連絡差し上げます。

広告掲載のお問い合わせ
広告についてのお問い合わせは、こちらのページをご覧ください。

関連キーワード: freezer, IOT, refrigerator, security
60シェア
8
20
0
32

Sponsored Contents