ニュース

国によるIoT機器へのセキュリティ調査、2月20日よりポートスキャン実施

あなたの家や会社のルーター、ウェブカメラのID・パスワードは大丈夫?

「NOTICE」専用ウェブサイト

 サイバー攻撃に悪用されるおそれのあるIoT機器を調査し、対象機器のユーザーへ注意喚起を行うプロジェクト「NOTICE(National Operation Towards IoT Clean Environment)」を、総務省および国立研究開発法人情報通信研究機構(NICT)が2月20日から実施する。同プロジェクトの情報を発信するための専用ウェブサイトも2月1日に開設されている。

 総務省によると、ウェブカメラやセンサーなどのIoT機器は、管理が行き届きにくい上にライフサイクルが長いなど、サイバー攻撃に狙われやすい特徴があるという。これらの脆弱な機器を踏み台にした大規模なDDoS攻撃による深刻な被害が発生する前に、2020年の東京オリンピック/パラリンピックに向けて、対策の必要性が高まっていると説明する。

 NOTICEでは、国内にある約2億のIPv4のグローバルIPアドレスにポートスキャンを行う。容易に推測されやすいID・パスワード約100通り(「password」「888888」「123456」「admin1234」など、過去のサイバー攻撃に用いられたものも含む)を、ルーターやウェブカメラ、センサーなどの機器を対象に入力することで脆弱な機器を特定する。

同一の文字や連続した番号などのID・パスワードを入力する

 機種特定のためのバナー情報(機器自身が公開しているサービスの種類やバージョンなどを知らせるメッセージ)を取得し、IPアドレス、タイムスタンプ、ポート番号、ID・パスワードを記録して、電気通信事業者などのインターネットサービスプロバイダ(ISP)へ通知する。ISPはNICTから受け取った情報を元に対象機器のユーザーへメールなどにより注意喚起を行うとしている。

 総務省では、パスワード設定の変更やファームウェアの更新など、適切なセキュリティ対策を案内するためのNOTICEサポートセンターも設置する。

IoT機器調査および利用者への注意喚起の取り組み「NOTICE」について(総務省)

 NOTICEの実施に先駆けて、サイバー攻撃に悪用されるおそれのある機器の調査等をNICTの業務に追加(5年間の時限措置)する「電気通信事業法及び国立研究開発法人情報通信研究機構法の一部を改正する法律」が2018年11月1日に施行されている。

 今回の取り組みに関して、「不正アクセス行為ではないのか」「通信の秘密を侵害していないか」との批判も挙がっているが、専用ウェブサイトに掲載されたFAQによると、2018年5月に改正された国立研究開発法人情報通信研究機構法(NICT法)に基づいていることから、「不正アクセス禁止法で禁止されている不正アクセス行為から除外されている」としている。また、「当該機器と第三者との間の通信の内容等を知得、窃用又は漏えいするものではないため、通信の秘密の侵害には該当しない」と回答している。

「NOTICE」専用ウェブサイトのFAQより

 今後、公共交通機関や家電量販店でのポスター掲示、新聞広告などによる周知も行う。なお、ISPからの注意喚起やNOTICEサポートセンターの案内にあたり、費用の請求や設定しているパスワードを聞き出すことはないとしている。NOTICEに便乗した詐欺にだまされないように注意が必要だ。

公共交通機関や家電量販店で掲示するポスター