研究者らは、複数の業界や国にまたがる49,000の誤設定され露出したアクセス管理システム(AMS)を発見し、重要な分野におけるプライバシーと物理的セキュリティを危険にさらす可能性があることを明らかにした。
アクセス管理システムは、生体認証、IDカード、ナンバープレートなどを介して、従業員の建物、施設、制限区域へのアクセスを制御するセキュリティ・システムである。
モダットのセキュリティ研究者は、2025年初めに包括的な調査を実施し、インターネットに公開された数万台のAMSが、安全な認証のために正しく設定されておらず、誰でもアクセスできる状態になっていることを発見した。
公開されたAMSには、以下のような暗号化されていない従業員データが含まれていた:
- 個人識別情報(氏名、電子メールアドレス、電話番号)
- 指紋や顔認識などの生体認証データ
- 写真
- 勤務スケジュール
- 誰がいつ入退室したかを示すアクセスログ
場合によっては、モダットは従業員記録を編集したり、偽の従業員を追加したり、アクセス認証情報を変更したり、建物の入館システムを操作したりして、正当な従業員へのアクセスを制限したり、悪意のある行為者に無許可の物理的アクセスを許可したりすることができる。
モダット
物理的なセキュリティ・リスクは、特に、政府の建物や、発電所や水処理装置のような重要なインフラに露出したAMSにとって憂慮すべきものである。
物理的なセキュリティだけでなく、公開された情報は、公開された組織に対するスピアフィッシング攻撃やソーシャルエンジニアリング攻撃に活用される可能性もある。
出典:Modat:モダット
世界全体で49,000台の露出したAMSデバイスのうち、ほとんど(16,678台)がイタリアにあり、メキシコ(5,940台)、ベトナム(5,035台)がそれに続いている。米国では、Modatは1,966台の暴露されたAMSシステムを発見した。
出典:Modat:モダット
問題の軽減
研究者たちは、すべてのシステム所有者に直接連絡を取り、AMSの暴露とそれが組織にもたらすリスクを知らせた。しかし、まだ返事はないとのことで、どれだけの人がシステムの安全確保に動いたかは不明である。
ベンダーにも問い合わせたところ、影響を受けた顧客と協力して暴露を修正しているとの回答があった。
モダット社は、AMSユーザーに対して、不正なリモート・アクセスを防ぐためにシステムをオフラインにする、ファイアウォールやVPNの背後にシステムを置き、許可された担当者のみにアクセスを制限するなど、いくつかのセキュリティ上の推奨事項を提示した。
また、デフォルトの管理者認証情報はブルートフォース(総当たり)しやすいので変更し、オプションがあれば多要素認証(MFA)を導入することも推奨している。
AMSの管理者は、ベンダーの最新のソフトウェアとファームウェアのアップデートを適用し、攻撃対象領域を広げる可能性のある不必要なネットワークサービスを減らすべきである。
バイオメトリック・データとPIIは常に暗号化して保存し、過去の従業員のデータは、他のシステムで無効化されていない古いアカウント経由の不正アクセスを避けるためにパージすべきである。
Comments