いつもご覧いただきありがとうございます!
先週は怒涛の業務に追われて、出張もあったりとなかなか技術的な記事を上げられていませんでしたので最近増えている「脆弱性への指摘」に対する回避策について取り上げたいと思います
背景
最近のKADOKAWAに対するサイバー攻撃やJAXAへのサイバー攻撃、様々な情報流出のニュースなどよく目にするようになりました。。。
▼私が株式保有しているKADOKAWA記事
▼参考:総務省公表の情報通信白書
これらの問題以前からも情報セキュリティリスクは高まりを見せていたので年々実施する企業が増えてきているのが、、
「ペネトレーションテスト」
と呼ばれる"脆弱性診断"を外部企業に依頼して実施する企業が増えてきております。
このテストを実施する範囲自体は色々と定める事が出来ますが、要は自社のネットワーク内やサーバー、端末、プリンターなどあらゆるネットワークと繋がる機器に対して外部攻撃を受けた際に"弱点"となる点が無いか調べるテストの事です。
テストを実施する企業自体は脆弱性を調べるだけなので脆弱性と判断されたものに関しては各機器のメーカーやベンダーに問合せる必要があります。
その為、年々実施企業が増えると同時に問合せも増えているのでご紹介になります。。
よくある「SNMP」脆弱性指摘
このペネトレーションテストを実施した際に高確率で脆弱性があると指摘されてしまうのが「SNMP*」になります。
*SNMP(Simple Network Management Protocol)の略
TCP/IPネットワーク環境の監視・管理を行うプロトコルのひとつであり、ルータやハブなどのネットワーク機器、Windows、UNIXといったサーバなどの状態を監視したりする為のものです。
SNMP自体は監視や管理上便利なプロトコルなので使用自体は問題ありませんが、逆に利用していない場合など放置されてしまう部分でもあるので指摘されてしまうケースがよくあります。
SNMPは全ての機器においてデフォルト名が「public」というのがデフォルトになっています。
このデフォルト名のままにしている機器があったりすると指摘されてしまう…というのが問題になります。
つまり、SNMPを許可したまま かつ デフォルト名 を使っていたとすれば外部からネットワークを監視したり、対象機器に対する攻撃に利用できてしまったりとする訳ですね
理由は簡単で、常識として「public」を使う事を認識しているので、悪意を持った人が攻撃しようとしたらまず始めに試す可能性が高い名称になるので"脆弱性"と指摘されてしまいます。
余談としてSNMPではありませんが、市販の無線ルーターなんかもメーカーによってルーターの管理画面へのログインが共通のパスワードを利用している...という事もよくあるので悪意がある人がWi-Fiに繋がってしまうと色々と悪さが出来てしまう場合もあるので初期パスワードからの変更して下さいというのもこういう事から言われていますよ
見分ける方法
例えばですが、複合機などでよく指摘されているようでプリンタードライバーなどを確認した際に「SNMP」に関する設定項目があってコミュニティ名が「public」となっていたら危ないかもしれません
▼とあるドライバーの一部分抜粋
簡単に見分けるのはこういったドライバーから見分けることが出来ますがここのチェックを外したり、名称を変えれば良いかというと違います。。。
要は大元のコミュニティ名を切り替えないとSNMPを禁止にしていない限り、その機器が攻撃対象になるからです。
メーカーによってSNMP設定の変更方法は異なりますので複合機メーカーやネットワーク機器メーカー等に問合せて変更する方法や変更して貰うと良いかと思います。
※ちなみに、SNMP利用中かつ「public」の名称で利用されていた場合は、大元の名称を切り替えた場合、ドライバー等もすべて変更した名称に切り替える必要があります。切り替えないと監視機能が利用できないなどの問題が発生しますのでよく確認して下さい。
以上、大変簡単にですが"SNMP脆弱性の指摘を回避する"についてお伝えしました!
皆様のご参考になれば幸いです