【IoT】サイバー攻撃者に狙われる「UPS(無停電電源装置)」---米国政府からの警告

「UPS」とは

概要

「UPS」(Uninterruptible Power Supply)(無停電電源装置)とは、
「サーバルーム」や「データセンター」などにおいて、停電発生時にオフグリッド電力を供給するための「電源バックアップ」を提供することを目的としている。

サイバー攻撃者に狙われるUPS

サイバー攻撃者は、バックアップ電源を妨害するための手段として、「インターネットに接続されているUPSユニット」を標的としている実情がある。

管理責任者が不明確であるケース

UPSは、停電時というイレギュラーな事態に機能すべきユニットであるため、多くの管理者が関連している場合が多い。
・IT管理者
・建物運用管理者
・産業保守管理者
・サードパーティの契約監視サービスベンダー　など

そのため、「どの管理者が実質的な管理者であるのか？」について曖昧になっている場合が多く、「結局誰も管理していない状態」となっているケースが多いと推定されている。

米国政府からの警告

米国政府はUPSユニットについて、以下のように警告を発している。
・「デフォルトで設定されているユーザーID+パスワード」を変更
・強力で長いパスワードまたはパスフレーズを使用
・多要素認証を実施
・UPSユニットが「仮想プライベートネットワークの背後」にあることを確認
・ログインタイムアウト機能を採用
・ロックアウト機能を採用　など

以上、下記URLからの要約
https://www.zdnet.com/article/iot-warning-hackers-are-gaining-access-to-ups-devices-heres-how-to-protect-yours/