IPAと経産省が「JC-STAR」を解説、取得機器の展示のほか、古いWi-Fiルーターの危険性を示すデモも

　独立行政法人情報処理推進機構（IPA）と経済産業省は、10月14日～17日に幕張メッセで開催されているCEATEC 2025において「セキュリティ要件適合評価及びラベリング制度」（JC-STAR）に関する出展を行っている。

　JC-STARは、「IoT製品に対するセキュリティ適合性評価制度構築方針」に基づき構築された制度。インターネットとの通信が行えるIoT機器を対象として、製品に搭載されているセキュリティ機能を共通の基準で評価・可視化することを目的としている。

　製品に求められるセキュリティ水準に応じて、「★1」～「★4」の適合基準が設けられている。このうち、IoT機器共通の最低限の脅威に対応するための適合基準である★1については、2025年3月より運用されている。★1は、IoT機器メーカーがチェックリストに基づいた自己適合宣言を行い、IPAが適合ラベルを付与する。

　ブースでは、JC-STAR制度に関する解説のほか、★1のラベルを取得した製品の一部展示、JC-STARのラベルを取得していないかつ、メーカーのサポートが終了しているWi-Fiルーターのリスクに関するデモンストレーションが実施されている。

IoT機器は世界中から無作為に狙われている

　JC-STARは、ルーターをはじめとするWi-Fi機器だけでなく、ネットワークカメラやスマート家電など、インターネットに接続できる幅広いIoT機器がラベリングの対象となる。ブースにおいても、★1のラベルを取得したさまざまな製品が展示されている。

★1を取得したネットワーク機器。NECプラットフォームズのWi-Fi 7ルーター「Aterm 7200D8BE」は、先週（10月6日）に★1を取得している

★1を取得したスマート家電

　このほか、株式会社バッファローのWi-Fiルーターを用いたデモンストレーションも行われている。これは、同社の★1を取得したモデル「WXR18000BE10P」と、サポートが終了している旧型モデルの管理画面に対して、不正ログインを試みる辞書型攻撃を行うもの。旧型モデルにおいては、初期パスワードが同一のものに定められているため、不正ログインが実行されてしまった。

WXR18000BE10P（左）、サポート終了済みモデル（右）

新旧モデルで不正ログインを試して、結果を比較するデモンストレーションの様子。旧型モデルは共通でよくある初期パスワードが設定されているため、利用者が変更しないと容易に不正ログインされてしまう

　JC-STARでは、管理画面にログインするための初期パスワードを1台1台異なるものに設定することや、パスワード入力を一定時間内に連続で間違えた際に制限をかけることを義務づけており、デモンストレーションで行われている辞書型攻撃やブルートフォース攻撃への対策がなされている。

JC-STARでは不正ログインを防ぐための対策が義務づけられている