日本のPOS端末が狙われる、組み込みシステムのセキュリティ対策：セキュリティ強化塾（4/6 ページ）

[キーマンズネット]

複合機も組み込み機器の1つ、コンピュータであることを忘れない

　一般オフィス内での組み込み機器の代表例が複合機だ。これもCPUとメモリ、大容量のHDDとネットワーク機能を備えたれっきとしたサーバマシンだ。

　インターネットに接続可能な機種も多く、複合機のファイルサーバ機能を使って情報の外部公開も可能なものもある。意図的に公開している場合はよいが、機能があるだけに時には設定のミスで非公開ファイルが公開されてしまうことがあり得る。また、管理用のIDとパスワードがデフォルトのままだと、外部からの不正アクセスされることにも気を付けよう。

　また、会社内のインターネット接続機器は「SHODAN」（検索エンジン）が簡便な検索を可能にしているように、外部からプロファイルを検索できることに注意しよう。時には管理用IDとパスワードが丸見えになっていることもある。

　不用意な設定や情報公開をしていないか、一度しっかりと点検しておきたい。ちなみに「SHODAN」は自分の会社の機器が外から見えるか、見えていたらそこに重要な情報がないかが確認できるという意味で役に立つ。検索ワード入力欄に「hostname:（自社のドメイン）」と入力して、機器がリストアップされるかや、そこにID/パスワードなどの情報がないかを確認してみよう。

図2 「SHODAN」の画面例

　以上のように、実はPCやサーバと同様のリスクが存在する組み込み機器だが、PCやサーバのように自由にアンチウイルスツールが導入できず、セキュリティパッチの適用も難しいなど、簡単にセキュリティ強化ができない場合も多い。では、ユーザー企業としてどのように対応していけばよいのだろう。