The Hacker Newsは7月7日(現地時間)、「Manufacturing Security: Why Default Passwords Must Go」において、デフォルトパスワードの危険性とベストプラクティスの実践方法について伝えた。

  • Manufacturing Security: Why Default Passwords Must Go

    Manufacturing Security: Why Default Passwords Must Go

デフォルトパスワードの危険性

多くのIT機器にはアカウント管理機能が組み込まれており、許可された人物だけが設定を調整できるようになっている。これら機器には「管理者アカウント」などと呼ばれる全権を有する特権アカウントが存在し、共通のデフォルトパスワードが設定されていることがある。

このデフォルトパスワードは機器のマニュアルに記載され、その多くは簡単に入手することができる。一部製品ではデバイス本体に個別のパスワードを印字(貼付)していることもあるが、公開されたシリアルコードから計算可能な場合もある(参考:「ブラザーやリコーのプリンタなど748製品に緊急脆弱性、アップデートを | TECH+(テックプラス)」)。

誰でも入手できるこれらデフォルトパスワードはパスワードとして機能しておらず、脆弱性そのものと言える。そこで初回セットアップ時には強力なパスワードに変更することが推奨されている。

The Hacker Newsはデフォルトパスワードを利用し続けた場合のリスクを次のとおり列挙し、注意を呼びかけている。

  • デバイスがボットネットに組み込まれる
  • 内部ネットワークへの侵入経路として悪用される
  • 横移動を可能にし、パートナー企業への攻撃の足がかりになる
  • セキュリティ対策を無力化される

ベンダー向けのベストプラクティス

The Hacker NewsはIT機器を製造、販売するベンダーに対し、責任を顧客に転嫁せず、出荷前にセキュリティを組み込むべきと指摘。具体案として次のベストプラクティスを実施するように推奨している。

  • 完全にランダムな一意のパスワードを工場出荷時に設定し、各デバイスに貼付する
  • 初回セットアップ時にパスワードの自動ローテーションまたは削除を行う。その後、パスワードの設定をユーザーに求める
  • 正常なセットアップ完了を確認するために、アウトオブバンド認証(OOBA: Out-of-band Authentication)を求める
  • ファームウェアアップデートを使用した不正な認証情報のリセットを防止するために、ログインモジュールの署名を検証する
  • セキュアな開発ライフサイクルを実現する。製品およびファームウェアの出荷前にデフォルトパスワードの存在を確認して脆弱性になり得るか検証する

ユーザーはリスクを把握して対策に努める

米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)は2023年12月(米国時間)、「Secure by Design Alert: How Manufacturers Can Protect Customers by Eliminating Default Passwords | CISA」において、デフォルトパスワードの廃止を求める文書を公開している。

これは法的規制ではなく推奨事項として公開されており、受け入れるか否かはベンダーの判断に一任されている。そのため、ユーザーにはベンダーのセキュリティ対策に依存せず、リスクが存在する前提で対策することが望まれている。

The Hacker Newsは一歩先を行く対策として、企業および組織に攻撃対象領域の縮小と、流出したパスワードの使用をブロックできるセキュリティソリューションの導入を推奨している。デバイスのデフォルトパスワードも「流出したパスワード」に含まれることから、侵入を防止できるとして提案している。