米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)とアメリカ合衆国エネルギー省(DOE: United States Department of Energy)は3月29日(米国時間)、「CISA INSIGHTS - Mitigating Attacks Against Uninterruptible Power Supply Devices」において、無停電電源装置(UPS: Uninterruptible Power Supply)の管理インタフェースをインターネット接続から外すように呼びかけを行った。
最近のUPSはネットワークから利用するための管理インタフェースを備えている。しかし、これがサイバー攻撃の標的になっているという。標準のユーザー名およびパスワードのまま使われていることもあり、CISAとDOEは注意を喚起している。
当局らは呼びかけの中で、UPSまたはそれに類するシステムがインターネットから到達できないことをただちに確認することを推奨している。UPSやそれに類するシステムの管理インタフェースがインターネット経由でアクセスできる必要があるという稀なケースに該当している場合は、次のことを確認するよう求めている。
- デバイスやシステムが仮想プライベートネットワーク(VPN: Virtual Private Network)で保護されていること
- 多要素認証を使っていること
- 強いパスワードやパスフレーズを使っていること
また管理インタフェースがインターネットに接続されていない場合でも、デフォルトのユーザー名やパスワードをほかのユーザー名とパスワードに変更することや、強いパスワードを使うことなどを推奨している。
UPSはサイバー攻撃の侵入経路になるだけではなく、UPSそのものにサイバー攻撃を仕掛けて物理的に破壊することができることも研究者らによって指摘されており注意が必要(参考「2,000万超の無停電電源装置「APC Smart-UPS」、リモート攻撃で物理破壊の恐れ | TECH+」)。UPSはIT機器のみならずさまざまな製品で使われることから、広範囲に渡ってリスク要因となっている可能性がある。UPSを使用している場合には迅速に確認を行うことが望まれる。