IPA、IoT機器の情報漏えい対策をまとめた文書を公開

　独立行政法人情報処理推進機構（IPA）は31日、従来から公開していたテクニカルウォッチ「増加するインターネット接続機器の不適切な情報公開とその対策」のレポートPDFの改訂版を公開した。

　今回の改訂では、IoT機器などのインターネット接続機器を無償で検索できる検索エンジン「Censys（センシス）」の利用方法を新たに掲載した。

　IPAでは、複合機で読み取った情報がインターネット越しに外部から閲覧できる状態にあった2013年11月の事例を受け、設定不備などで意図しない情報が開示されないように対策を解説したテクニカルウォッチを公表していた。その後のIoTの進展もあり、2015年11月に発表の調査によれば、IoT機器などのインターネット接続機器は、2016年には64億台に増加、今後もさらに増え続けるという。

　2015年10月にミシガン大学の研究者によって開発されたCensysは、ZMapと呼ばれるネットワークスキャナーを用いて、インターネット上に接続されている機器のOSやソフトウェアのバージョン、ルーティングや認証の情報などの検索に特化した検索エンジン。テクニカルウォッチで紹介されていた一部機能が有償の「SHODAN」と類似したもので、全機能を無償で利用でき、個別プロトコルの検索ヒット数が多いことが特徴となる。

　Censysは、インターネットに接続されたIoT機器の安全確認にも有効であることから、IPAでは今回、テクニカルウォッチを改訂し、利用方法の解説を加えたという。

　改訂版には、SHODANとCensysに登録されている国内のインターネット接続機器の台数と、それぞれに想定される脅威・リスクを機能別にまとめた表を掲載している。

　また、外部からの攻撃に備え、機器に装備している該当ポートの点検に役立てられるよう、ポート別にも登録機器を掲載している。

　IPAでは、IoT機器の普及に伴い、不用意な設定で、情報が開示されることのないよう、この改訂版が、IoT機器の情報セキュリティ対策強化の一助になることを期待しているとしている。