セキュリティ組織の米US-CERTは2013年6月24日(米国時間)、ネットワーク機器やサーバーソフトなどにあらかじめ設定されている初期パスワードを使い続けるのは危険だとして注意を呼びかけた。インターネット経由で機器などを乗っ取られる恐れがある。
ネットワーク機器などに組み込まれたソフトウエア(ファームウエア)やサーバーソフトには、工場出荷時に特定のパスワードが設定されていることがある。このパスワードは、初期パスワードやデフォルトパスワードなどと呼ばれる。
初期パスワードは、初期のテストやインストール、設定などのために使用するパスワードであり、多くのメーカーは、すぐに変更することを推奨している。
しかしながら、実際には、初期パスワードを変更していない機器が多数インターネットに接続されているという。
多くの場合、初期パスワードは製品ごとに共通で、取扱説明書などに記載されている。また、さまざまな製品の初期パスワードを集めたリストがインターネットで公開されている。
このため、初期パスワードを変更していない機器は、インターネット経由で管理者権限を奪われて、攻撃者に乗っ取られる危険性がある。実際、過去には、初期パスワードを狙った攻撃が多数確認されている。
例えば、2009年11月に出現した、セキュリティ保護機能を解除したiPhone(いわゆる「ジェイルブレイクしたiPhone」)に感染するウイルス「Ikee」は、SSHサーバーソフト(OpenSSH)の初期パスワードを使って、感染対象のiPhoneに侵入する。
2010年6月ごろ出現して大きな話題となったウイルス「Stuxnet」も、産業用機器の制御システムに感染する際には、そのシステムの初期パスワードを悪用したとされる。
US-CERTでは、初期パスワードはできるだけ早く変更するよう呼びかけている。インターネットのように信頼できないネットワークに機器を接続する際には、推測が困難なパスワードに変更する必要があるとしている。
