ニュース

複合機や家電の不要な公開サーバーは「SHODAN」で発見を、IPAが利用法を指南

 独立行政法人情報処理推進機構(IPA)は27日、インターネット接続対応のオフィス機器や家電に保存された情報が意図せず外部公開されている問題への対応策として、検索エンジン「SHODAN」を用いた検査手法について文書にまとめた。全18ページのPDFで、IPAのウェブサイトから無料でダウンロードできる。

機器別の情報漏えいリスクをまとめた表(発表資料より引用)

 近年のオフィス機器・家電機器は利便性向上のためにネットワーク機能を搭載する例が増加した。一方で、機器内に保存されたデータが、利用者の意図を越えてインターネットにも公開され、結果として情報漏えいを引き起こす可能性も指摘されている。2013年11月には、業務用の複合機(コピー機・FAXなど)でスキャンした書類の画像がインターネットから閲覧できてしまう問題について大手マスコミが取り上げ、話題となった。

 これら、“意図しない情報公開”の問題は、各種サーバー機能が機器に内蔵されていることを利用者側が十分認識していない点に集約されるという。よって、ネットワーク接続された機器を正確に把握し、適切なサーバー設定を行うことで問題は発生しにくくなる。

 今回IPAが公開した文書では、ネットワーク接続機器の把握・発見のために「SHODAN」という検索エンジンを利用する方法が提案されている。同サイトは、ホストネームやIPアドレスをもとにインターネット接続機器を検索できる。

検索エンジン「SHODAN」のトップページ

 SHODANは、利用者側の意図によっては、セキュリティの弱い機器を短時間で発見するための手段となり得るが、一方で、ネットワーク管理者が管轄下の機器をチェックする用途にも使える。ブラウザーだけで利用できるため、専用ツールの導入や外部機関への検査委託と比べ、容易に試せるメリットもある。

 文書の後半では、SHODANの具体的な利用方法をはじめ、検索時にどのようなキーワードを入力すればよいか、といった点などにも言及されている。

(森田 秀一)