US-CERT |
US-CERTは6月24日(米国時間)、「デフォルトパスワードは危険である」という警告を「Risks of Default Passwords on the Internet」として発表した。攻撃者は工場出荷時の段階で設定されているデフォルトパスワードを使って、インターネットに接続されているデバイスや特定のソフトウェアに簡単にログインでき、危険であることを指摘している。
こうした危険性を回避するために、システムをインターネットに接続する前に、可能な限り早い段階でデフォルトパスワードを別のものへ変更することを勧めている。また可能であればKerberos、x.509、公開鍵などほかの認証システムを使う、または複数併用して問題を回避する、信頼しているホストからのアクセスのみに限定する、インターネットから直接アクセスする必要がある場合にはVPNやSSHなどの安全な方法を使用する(もちろんパスワードは変更しておく)ことを指摘している。
「Risks of Default Passwords on the Internet」ではベンダに対してデバイスを利用する段階でデフォルトパスワードの変更を強要したり、共有のパスワードではなくそれぞれのデバイスに対してユニークなデフォルトパスワードを設定することなどを指摘している。