脆弱なIoT機器管理用パスワードの設定状況と注意喚起効果の分析

村上 洸介; 笠間 貴弘; 井上 大介

講演名	2022-11-08 脆弱なIoT機器管理用パスワードの設定状況と注意喚起効果の分析村上洸介(NICT/KDDI総合研究所), 笠間貴弘(NICT), 井上大介(NICT),
PDFダウンロードページ	PDFダウンロードページへ
抄録(和)	TelnetやSSHといったパスワード認証が有効なサービスがインターネット側からアクセス可能で，容易に推測可能なID/パスワード設定となっているIoT機器がマルウェア感染し，サイバー攻撃に悪用される事例が発生している．そのため，パスワード設定に不備のある日本国内のIoT機器を探索し機器所有者に注意喚起を行うNOTICEプロジェクトが2019年より開始され，継続的な注意喚起が行われている．また，今後普及するIoT機器に同様の被害が発生するリスクを軽減するために，2020年に施行された新たな技術適合基準において，IoT機器のセキュリティ要件としてアクセス制御機能に係る初期設定の識別符号の変更を促す機能または機器ごとに異なる識別符号が付されていることが要件として追加された．しかしながら，IoTマルウェアが容易に推測可能なID/パスワードを用いて感染することは広く知られている一方で，実際に感染した機器のユーザがデフォルト設定のまま運用していたのか，それともユーザ自身によって容易に推測可能なID/パスワードを設定した結果として被害を受けたのかは明らかではない．仮にデフォルト設定では無くユーザ自身が脆弱なID/パスワードを設定してしまっている場合，パスワード変更を促すだけではIoTマルウェア感染の被害を軽減するためには不十分となる危険性がある．そこで，本稿ではNOTICEの調査結果より，実際に機器へのログインに成功した際のID/パスワードが当該機器のデフォルト設定であるか否か調査を行った．また，継続的な調査結果を基に注意喚起を受けたユーザの対処状況について分析を行った．
抄録(英)	IoT devices with weak ID/Password settings that are accessible from the Internet by services that enable password authentication, such as Telnet and SSH, have been infected with malware and exploited in cyber attacks. Therefore, the NOTICE project, which surveys IoT devices with weak ID/Password settings in Japan and alerts device owners, has been launched in 2019, and continuous alerts are being issued. In addition, to reduce the risk of IoT devices to be released in the future, new security requirements for IoT devices were added to the technical conformity standard in 2020, including the ability to prompt a change in the identification code of the access control function or to set a different identification code for each device. However, while it is widely known that IoT malware can be infected by weak ID/Password pairs, it is not clear whether the infected devices were used with their default settings or whether the users of the devices set weak ID/Password pairs. If a user has set a weak ID/Password, simply providing a function that prompts the user to change the password may not be sufficient to mitigate the damage from IoT malware infection. In this paper, based on the results of the NOTICE survey, we analyzed whether the ID/Password of the device was the default setting or not. We also analyzed the results of user actions based on the logging in by the NOTICE survey and the alert.
キーワード(和)	IoT機器 / パスワード設定 / NOTICE
キーワード(英)	IoT Device / Password Settings / NOTICE
資料番号	ICSS2022-42
発行日	2022-10-31 (ICSS)

研究会情報
研究会	ICSS
開催期間	2022/11/7(から2日開催)
開催地（和）	北海道自治労会館
開催地（英）	Hokkaido Jichiro Kaikan
テーマ（和）	セキュリティ、一般
テーマ（英）	Security, etc.
委員長氏名（和）	吉岡克成(横浜国大)
委員長氏名（英）	Katsunari Yoshioka(Yokohama National Univ.)
副委員長氏名（和）	笠間貴弘(NICT) / 山田明(神戸大)
副委員長氏名（英）	Takahiro Kasama(NICT) / Akira Yamada(Kobe Univ.)
幹事氏名（和）	山内利宏(岡山大) / 木藤圭亮(三菱電機)
幹事氏名（英）	Toshihiro Yamauchi(Okayama Univ.) / Keisuke Kito(Mitsubishi Electric)
幹事補佐氏名（和）	菅原健(電通大) / 鐘本楊(NTT)
幹事補佐氏名（英）	Takeshi Sugawara(Univ. of Electro-Comm.) / Yo Kanemoto(NTT)

講演論文情報詳細
申込み研究会	Technical Committee on Information and Communication System Security
本文の言語	JPN
タイトル（和）	脆弱なIoT機器管理用パスワードの設定状況と注意喚起効果の分析
サブタイトル（和）
タイトル（英）	Analysis of Weak Password Settings for IoT Devices and Results of User Notifications
サブタイトル（和）
キーワード(1)（和/英）	IoT機器 / IoT Device
キーワード(2)（和/英）	パスワード設定 / Password Settings
キーワード(3)（和/英）	NOTICE / NOTICE
第 1 著者氏名（和/英）	村上洸介 / Kosuke Murakami
第 1 著者所属（和/英）	国立研究開発法人情報通信研究機構/株式会社 KDDI総合研究所(略称：NICT/KDDI総合研究所) National Institute of Information and Communications Technology/KDDI Research, Inc.(略称：NICT/KDDIR)
第 2 著者氏名（和/英）	笠間貴弘 / Takahiro Kasama
第 2 著者所属（和/英）	国立研究開発法人情報通信研究機構(略称：NICT) National Institute of Information and Communications Technology(略称：NICT)
第 3 著者氏名（和/英）	井上大介 / Daisuke Inoue
第 3 著者所属（和/英）	国立研究開発法人情報通信研究機構(略称：NICT) National Institute of Information and Communications Technology(略称：NICT)
発表年月日	2022-11-08
資料番号	ICSS2022-42
巻番号（vol）	vol.122
号番号（no）	ICSS-244
ページ範囲	pp.25-30(ICSS),
ページ数	6
発行日	2022-10-31 (ICSS)