連載
» 2008年07月01日 00時00分 公開

セキュリティ対策の「ある視点」(10):SNMPコミュニティ名、そのデフォルトの価値は (4/4)

[辻 伸弘(ソフトバンク・テクノロジー株式会社),@IT]
前のページへ 1|2|3|4       

デフォルトの価値は

 以前の記事では、

  • ユーザー名とパスワードが同じもの(俗にいうJoeパスワード)
  • パスワードがブランク(Nullパスワード)

それに加え、誰しも(組織関係者を含む)推測可能なパスワードは、セキュリティ的に不適切であると解説したが、SNMPコミュニティ名などの情報取得に必要な文字列を含む、デフォルトのパスワードというものも誰の目にも触れるインターネットにデータベースが公開されている以上、推測可能であるということがいえるだろう。従って、デフォルトの価値はゼロに等しいといえるだろう。これはパスワードとしての役割を果たしていないともいえる。

 また、昨今注目を浴びつつある、PCIDSSの要件に定義されている中に以下のようなものがある。

要件2:システムパスワードおよびほかのセキュリティパラメータにベンダ提供のデフォルト値を設定しないこと。

ハッカー(社内外の)は、しばしばベンダ出荷時のデフォルトパスワードやそのほかベンダのデフォルト設定を使用して、システムのセキュリティを脅かす。これらのパスワードや設定はハッカーの間でよく知られており、公開情報を通じて容易に特定することができる。

2.1 システムをネットワーク上に導入する前に、ベンダ出荷時のデフォルト値を変更する。

(例えば、パスワードやSNMPコミュニティ名、不必要なアカウントの削除)


 このようにPCIDSSの要件にも定義されているということから、デフォルト設定の公知性を悪意のあるユーザーが利用するということ自体が、公知性の高いものになっているといえるだろう。また、このような情報を利用した攻撃は、高い知識、技術力のない者でも容易に利用可能である。つまり、対策して当然といえる項目なのではないだろうか。

 しかし、前述したとおり、その状態が自身の管理下にあるシステムにも存在することが分からなければ、対策へのアクションは起こり得ない。

 システムを導入する際には、そもそも、そのシステムは何のために使うのかを明確にしたうえで、デフォルト状態はどのようになっているのかを確認することが必要であると筆者は考える。そこを理解したうえで、必要、不要な機能、設定内容の切り分けを行い、不要なものについては、停止や削除を行うことが望ましいといえる。運用前でも後でも、抜け漏れの発生、新たな脆弱性の発見が考えられるため、外部の組織にペネトレーションテストのような検査を依頼し、現状を把握するというのも有効な一手段だろう。

 そのような検査を受ける前の自己問診的な用途で、この記事が役に立てれば幸いである。

著者紹介

NTTデータ・セキュリティ株式会社

辻 伸弘(つじ のぶひろ)

セキュリティエンジニアとして、主にペネトレーション検査などに従事している。

民間企業、官公庁問わず多くの検査実績を持つ。

自宅では、趣味としてのハニーポットの運用、IDSによる監視などを行っている。



前のページへ 1|2|3|4       

Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。