NASA/JPLでハッキング被害。で、どうする?

HongKong International Airport

インターネットの世界ではおなじみの、NASA/JPLの研究所で、2018年の春に、インターネットから入って来る何者かに組織内ネットワークへの侵入を許し、多くの情報が漏洩した可能性がある、と、この記事が伝えている。

ハッカー侵入の最初の入り口は「組織で管理していなかった、小型のIoT用のコンピュータ、Raspberry-Pi(ラズベリーパイ)」だとのことだが、十分にありえる話であると同時に、多くのIoT機器などの実験をする研究所や企業では、今後、同じ被害に会わないよう、十分に気をつける必要がある。

要するに、今後ラズベリーパイなど、組織の管理外のコンピュータを組織のネットワークに接続するときは、以下の注意が必ず必要だ、ということだ。この管理はなにもシステム管理室がする必要はないし、今後は数が増えてくるのだから、とてもじゃないが、全てをシステム管理室が対応できるものでもなくなる、というのが、これからの状況だろうと思う。そこで、以下のような「注意書き」のチェックシートを作って、それを提出させる、というのが一番管理も楽で、確実だろう。

●ラズベリーパイなどの新規のコンピュータを組織内ネットワークに接続する場合、当該コンピュータに以下の項目のすべての手当をしてから「OK」のチェックを入れ、その文書をオンライン・オフラインでシステム管理者に署名とともに提出し、その後に実際にネットワークに接続すること。

  1. sshdポート、ftpdポート、httpポート等の「一般的なポート番号」は独自のものに変更すること。チェック【○】
  2. MySQL等のデータベースのクライアント・サーバーの接続ポート等も変更すること。あるいは、ローカルの実の接続とし、ネットワークからの接続は拒否する設定とすること。 チェック【○】
  3. iptable/ipchains/ufwなどのコマンドでファイアウォールを構築し、必要ないポートは閉じておくこと。チェック【○】
  4. 一般ユーザーからsudoコマンドのみでroot権限が取れるようにしないこと。チェック【○】
  5. 随時OSのアップデートなどが最新のものにできる設定としてあること。チェック【○】

という感じで、まずは最初は行けるのではないだろうか?ラズベリーパイなどの新規のコンピュータをこの後、必要であれば、研究者それぞれに、規則を足していく。セキュリティに腐心するあまり、研究者の研究を阻害してはならないので、この「チェックシート方式」が一番良いのではないか?と、私は思う。



このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください