スマートフォン向けサービスのパスワードが初期設定のままだったために、思わぬトラブルに巻き込まれてしまう事故が発生した。初期設定のパスワードは、何の障害もなければ、そのまま放置されてしまうことも多々あるが、ひとたび問題が発生すると、被害を拡大してしまう大きな要因となる。
ネットワーク機器や携帯端末などの設定変更を行う管理画面は、第三者が勝手に操作できないように、通常はパスワードで保護されている。このパスワードは、出荷時には未設定のものや、「admin」「0000」「1234」「9999」といった簡単なものが初期値として設定されていることが多く、購入後にユーザー自身で設定・変更することを前提としている。ところが、「やり方が分からない」「めんどう」などの理由で、初期設定のまま使用しているユーザーも多く、中にはパスワードが存在することすら知らずに、機器を使い続けているユーザーもいる。
今回、スマートフォン向けサービスの設定変更を行うサイトで、他のユーザーの設定情報にアクセスしてしまう問題が発生した。設定情報は、4桁の暗証番号で保護されているので、暗証番号が偶然一致しないかぎり、メールアドレスやパスワードなどが変更されるといった実害は発生しない。ところが、7月25日未明から朝にかけての約7時間半の間に、約1000人ものユーザーが影響を受けてしまったという。
被害がここまで広がってしまった大きな要因は、相当数のユーザーが暗証番号を初期設定のまま使用していたからにほかならない。初期設定を変更してさえいれば、偶然一致してしまう確率は1万分の1に過ぎず、実害が及ばなかった可能性が高いのだ。
ご使用中の機器やサービスの中に、初期設定のパスワードや暗証番号を、そのまま使い続けているものはないだろうか。初期値のパスワードは、保護の役に立たないばかりか、知らない間に誰かにパスワードを変更され、アクセスできなくなってしまうこともある。初期設定のパスワードは、あくまでも仮のものなので、使用に際しては必ず設定・変更するよう心がけたい。
(2012/08/06 ネットセキュリティニュース)
【関連URL】
・「spモード各種設定」における発生事象について(NTTドコモ)
http://www.nttdocomo.co.jp/info/notice/page/120725_00_m.html