LAC WATCH

セキュリティとITの最新情報

RSS

株式会社ラック

メールマガジン

サイバーセキュリティや
ラックに関する情報をお届けします。

ラックピープル | 

7月25日の人材育成セミナーで何を伝えたか、何を伝えたかったか#7

7月25日のセミナー「ビジネスとセキュリティを守る人材育成」でお話したHardening Projectを通して得られた気づきについてご紹介。その7。

7つ目の気づきは「脆弱な初期設定に注意」です。

ちょうど一か月前に兵庫県三木市で発生したセキュリティインシデントに関して徳丸先生がつぶやいていましたのでご紹介します。

https://twitter.com/ockeghem/status/750234420779491328
https://www.sankei.com/west/news/160705/wst1607050010-n1.html

システムのIDとパスワードが初期設定のままだったようです。内部犯行だったとはいえ、初期設定のままとはあまりにダメダメな事例ですが、このようなダメダメな事例もたくさんあふれています。

Hardeningの競技環境に用意されたシステムは初期設定のままになっているものも用意しています。

 初期設定のユーザ
 初期設定のパスワード
 初期設定のアクセス制御
 初期設定の管理画面のURL
 初期設定の管理パラメータ

どのような初期設定が問題を生むのかということが分かれば、その初期設定を修正、削除することも可能です。初期パスワードの変更についてはほとんどのチームが対応できるのですが、初期状態で存在する管理面やそのアクセス方法などの対策が漏れる傾向にあります。利用したいアプリケーションの機能ばかりに注目しているとそのアプリケーションに付随する管理機能が動いており、そこから不正アクセスを受けることがあるので要注意です。

次回は「安易な作業がトラブルを生む」を取り上げます。

この記事は役に立ちましたか?

はい いいえ

関連記事

LAC WATCH

関連記事をご紹介します

  • 7月25日の人材育成セミナーで何を伝えたか、何を伝えたかったか#6

  • 7月25日の人材育成セミナーで何を伝えたか、何を伝えたかったか#5

  • 7月25日の人材育成セミナーで何を伝えたか、何を伝えたかったか#4