知って得するセキュリティのはなし その4
総務省、脆弱なIoT機器のセキュリティ対策を促す「NOTICE」を開始
1.このニュースをザックリ言うと
- 2月1日(日本時間)、総務省と情報通信研究機構(NICT)より、インターネットに接続されている脆弱なIoT機器(ルータ、Webカメラ、センサー等)を調査し、ユーザにセキュリティ対策を促すためのプロジェクト「NOTICE(National Operation Towards IoT Clean Environment)」を2月20日に開始すると発表されました。
- NICTの業務としてパスワード設定等に不備のあるIoT機器の調査等を追加する法改正が昨年11月に施行され、同月から今年1月にかけてTelnet・SSHおよびHTTPポートが開いていないか等の調査が行われており(AUS便り 2018/11/12号参照)、NOTICEはこれに続いて行われるものとなります。
- NOTICEでは、国内のIPアドレス上のIoT機器に対し、攻撃者に容易に推測される可能性の高い100種類のパスワードを用いて管理画面等にログイン可能か(あるいはパスワードなしで入れるか)を調査し、問題のある機器の利用者に対してはそのIPアドレスを所有するプロバイダを介して注意喚起を行うとしています。
2.執筆者からの所感等
- 1月下旬に当調査の実施についてメディアで報道されて以降、「政府が公然と不正アクセスを行う」「通信の秘密が侵害される」などといった批判がネット上では目立ちましたが、NOTICE専用WebサイトのFAQでは、当調査の実施業務は前述の法改正によって不正アクセス禁止法の対象から除外されているとしており、また機器と利用者との間の通信内容等を漏洩させる類のものではないこと等から、通信の秘密を侵害するものではないとしています。
- 「NOTICEによるアクセスに備えて」というのではなく、インターネットに接続されているあらゆる機器は常時どこからかの不正アクセスの脅威にさらされているものと認識し、「意図して公開していないサービスへはアクセスさせない」「第三者が不正に管理画面等に入れないよう強力なパスワードを設定する」といったセキュリティ設定の実施を行うことが肝要です。