PWNED「Pwned」コラムへようこそ。このコラムでは、IT関係者が自分たちでやらかしてしまった失敗談を共有しています。今週の話は、フィットネス機器のようなシンプルなものを設定する場合でも、セキュリティ認証情報を放置する言い訳がないことを示しています。
今週の話は、JCという仮名の中古ジム機器の販売・設置を行う会社の経営者からです。彼はホテルとの契約で、ビデオスクリーン付きの有酸素運動機器をインストールしていました。これはエクササイズをする人がLAN経由でNetflixを視聴できるように設計されていました。
しかし、JCの従業員の一人が、機器のデフォルト管理者PIN番号をトレッドミルに貼った付箋紙に残していました。これにより、ホテルのゲストがコントロールパネルにログインして、80年代の音楽ビデオをキューイングすることができました。問題を起こした旅行者がどんな曲を選んだかはわかりませんが、オリビア・ニュートン・ジョンの「フィジカル」がプレイリストの最初だったと想像できます。
ジムから聞こえてくる音を聞いて、ホテルのフロントデスク スタッフはジムが幽霊に取り憑かれているのではないかと疑いました。しかし、彼らは最終的に、Netflixにログインするのではなく、誰かがYouTubeを再生していたことを発見しました。幸い、「攻撃者」は実際の被害を与えませんでしたが、より悪質な誰かがこれらのマシンを制御していたら、コマンド・アンド・コントロール攻撃に使用できた可能性があります。
JC本人は、この事件を学習の機会として捉えたと述べています。現在、彼のチームはすべてのコンソールをゲストVLAN上に分離し、デフォルトパスワードを変更し、フィットネス機器のUSBポートを無効にしています。バーンイン中にコンソールをパッチして、ネットワークプレートまでロックし、誰もEthernetケーブルを引き抜いて独自のデバイスをLANに接続できないようにしています。
Forrester Researchの副社長兼研究責任者であるMerritt Maximは、ファイアウォールレベルで外部アクセスを制限し、ジム機器がNetflixとのみデータを送受信できるようにすることも提案しています。そうしないと、フィットネス機器にアクセスした悪意のあるユーザーがはるかに大きな被害を引き起こす可能性があります。
先週、私たちは企業の脅威サーフェスになったコーヒーメーカーについて話しました。この状況は大きく異なることはなく、両方のストーリーは、コンピュータに見えなくても、接続されたデバイスをロックダウンすることがいかに重要かを示しています。
ネットワークに大きな穴を残した誰かの話を持っていますか?[email protected]で私たちとそれを共有してください。匿名性は要望に応じて利用可能です。®
翻訳元: https://go.theregister.com/feed/www.theregister.com/2026/04/09/pwned/
