アフィリエイト広告を利用しています
検索
<< 2022年09月 >>
        1 2 3
4 5 6 7 8 9 10
11 12 13 14 15 16 17
18 19 20 21 22 23 24
25 26 27 28 29 30  
最新記事
タグクラウド
カテゴリーアーカイブ
ファン
最新コメント
プロフィール
ゼロから始めるシステム開発さんの画像
ゼロから始めるシステム開発
 こんにちは!ナビゲータのEVEです。各種研究室を用意し、次期EVEシステムを製造しようと日々頑張っています。現在一番力を入れているのが、資金調達です。このブログもその一環ですので、ご協力いただければ嬉しいです。
プロフィール

2022年09月06日

初回ログイン後パスワード変更しなくていいの? [セキュリティ研究室]





 こんにちは!
 ナビゲータのEVEです。

 初回ログイン後パスワード変更しなくていいの?ではなくって、初回ログイン後のパスワードは変更しましょう!Softbankのルータの話です。

 本日プロバイダーを変更しました。今までEditNetというプロバイダーを使用していたのですが、Softbankに変更しました。理由は、この間購入しましたPanasonicのテレビのため・・・。テレビを購入するに際し、プロバイダーを変更したらキャッシュバックがあると聞いたたため、ついつい変更してしまいました。

パナソニック|Panasonic 液晶テレビ VIERA(ビエラ) TH-49LX900 [49V型 /4K対応 /BS・CS 4Kチューナー内蔵 /YouTube対応 /Bluetooth対応]

価格:136,056円
(2022/9/6 16:26時点)
感想(0件)



 9月4日に一式送られてくると聞いていたのですが、内容物を見て驚き・・・。ルータとその結線情報しか入っていません。実は、NTT関連のネットワークを使用していた多くの人は、これだけでSoftbankのネットワークに接続することができるのですが、1つ問題がありました。宅内配線です。

 EditNetいうプロバイダーはサーバを安くインターネット公開するという目的では非常に優秀なプロバイダーで、1カ月3,300円で公開することが可能です。しかも、逆引きをお願いすれば、何の制約もなくすぐに設定してくれます。ただ、ご存じの通り、公開するためのシステムを設計中ですし、旧システムはもう公開する予定もございません。そして、新システムの公開は早ければ、1年半後ですが、多分2年ぐらいかかります。そこで、しばらくは問題ないと考えて変更したのですが・・・・。

 宅内配線を変えるのに、手順書のURLを教えていただいたのですが、そこに、ユーザIDとパスワードがそのまま記載されています。しかも、そのURLの所在を知っているのは一部の人なのですが、インターネット上に公開されています。
 ようは、Softbankの全てのルータのパスワードが全く同じで、その情報がインターネット上に公開されているのです。しかも、多くのSoftbankユーザはルータの結線情報しかないため、パスワードが設定され、変更できるなんて知りません。そのため、手順書のURLを教えてくれた方に、問題ありませんか?と聞いたのですが、問題ないようです。理由は、詳しくは話していなかったのですが、同ルータに接続するのは難しいからでそうです。まっ、そうでしょう?技術的には難しく、難しい部分を乗り越えるハッカーは本当に一部の方だと思います。ただ、難しくない方法として、ソーシャルエンジニアリングとかありますしね・・・。オレオレ詐欺に引っかかる日本人を見ていると、難しいんじゃなくって、楽なような気もしますが???

 初期パスワードはログイン後すぐに変更するというのが本来あるべき姿だと思うのですが・・・?

 最後にソフトバンクの方に、内部で検討してくださいとお願いしましたが、それはなさそうです。

 そのため、同内容をIPAに相談したところ、指導するのは業務外と返事が帰ってきました。現在、ワーニングは?っと聞いていますが、以前も疑問に思って、ブログに書きましたが、IPAって何のために存在するのでしょうね?

 今回のセキュリティホールですが、以下のようなリスクがあります。

@ルーターの設定を勝手に変えられて何者かにタダ乗りされる
Aタダ乗りした者が自分のネット回線を使って犯罪行為を行う
B通信の内容が盗み見され、漏洩する
Cルーターに接続しているデバイスから写真や動画などが流出する


 社会的に怖いのは、Aですかね?身元不明な社会的影響を与える攻撃が、実は自分の家のルータ経由だったっていうことはあるのかもしれません。

 予定を変更し、今日あったことをブログにしました。この件に正義感をもってこのようなことをしているのではありません。私は利用者ではあるけれど、利害関係者ではありません。
 以上の内容は、今まで聞いていたセキュリティ情報と相違があり、違和感を感じているためです。
 しかるべき機関の公式な見解があれば納得します。納得できる内容だったらいいのですが・・・?

 なお、最初にも書きましたが、初回ログイン後のパスワードは変更しましょう!Softbankにも優秀な方がいてその方々の見解なので、多分大丈夫だとは思うのですが、変更した方がよりリスクは低くなります。

【新規契約】【当店よりさらに35,000円キャッシュバック】 SoftBank 光 ソフトバンク光 単体契約 送料無料 新品 WiFi

価格:1円
(2022/9/6 16:50時点)
感想(0件)



 明日は、予定通り、❹情報処理安全確保支援士合格の最短方法についてお話したいと思います。IPAにちょっと、猜疑心を持たせたくせに、と思われるかもしれませんが、エンジニアにとり必要なセキュリティ情報を最短で手に入れる方法ですので、おつきあいください。

 では、また!

■EditNet
https://www.editnet.ad.jp/

■ルーターのセキュリティは大丈夫?今チェックすべき5項目
https://jp.norton.com/internetsecurity-general-security-router-security.html