総務省のIoT機器侵入調査「NOTICE」について

IoT /

総務省は、防犯カメラやセンサーなど、インターネットに接続されたIoT機器の安全性に関する調査を、今月20日から開始すると発表した。「NOTICE(National Operation Towards IoT Clean Environment)」と呼ぶようだ。実際の調査は、同省が所管する研究機関である情報通信研究機構(NICT)が担当し、カメラやセンサーの他、家庭内のテレビ受像機、ビデオレコーダー、無線ルータなども対象となり、国内の約2億個のIPアドレスを調べることになる。

具体的には、それぞれの機器に対して約100種類のパスワードを入力して不正アクセスができるかを確認する。パスワードは機器の初期設定でよく使われているもの、数字の羅列のような容易に想像できるもの、また過去のサイバー攻撃で使用されたものを中心に試すという。結果として、安全対策が不十分と確認された機器には、NICTから連絡を受けたISPを通じて、機器の所有者に注意喚起の電子メールを送る。

業務用のIoT機器だけでなくいわゆるネット家電も対象とすることから、おそらく読者の皆様も、こうした連絡を受け取る可能性があるかもしれない。かくいう筆者自身も、少なくとも家庭内において自分が触れている機器を十全に理解しているとは言い難く、どこかで引っかかるのではないかとも思っている。

それこそが今回の調査の狙いなのだろう。政府は以前から、2020年の東京オリンピック・パラリンピックに向け、サイバー攻撃への対応強化を進めていたが、従来のような「社会全体でどれくらい危険か」といったマクロ的な状況把握では、個別機器の問題の発見と対策という具体的な改善は進まない。そこで「あなたの問題です」というミクロ的な警告を発し、利用者に当事者意識を持ってもらうという狙いがうかがえる。

ところで今回の調査の前提となっている、IoT機器によるサイバー攻撃は、最近始まった話ではない。2011年9月に起きた政府、東京都、JAL等へのDoS型攻撃では、一部でIoT機器の不適切な設定を悪用したリフレクション攻撃が行われた。DNSフォワーディング、UPnP(SSDP)等、本来はユーザ宅内(ローカル環境)で使われるプロトコルだが、インターネットとローカル環境の境界に設置されたIoT機器(例:家の外から宅内を監視するためのWebカメラやホームゲートウェイ等)が「踏み台」となって、そうしたプロトコルを用いた外部サイトの攻撃に用いられる、というものだ。

また2016年10月以降は、Mirai型マルウェアに感染したIoT機器による、超大規模なDDoS攻撃が世界中で頻発している。同年11月には、ドイツテレコムが各家庭に設置したルータ約90万台にMirai型マルウェアの感染を狙ったサイバー攻撃が行われ、顧客のサービスに障害が発生した結果、ネットにアクセスできないなどの影響が出た。さらに2017年10月には、スウェーデンの交通機関や当局のネットワークを提供しているISPを感染したIoT機器が攻撃し、列車の運行遅延や運休が発生する事態となった(参考=外部リンク)

情報セキュリティという言葉からは、どうしても自分のサイトが攻撃され、情報が漏洩するという、いわば被害者側の見方に基づくインシデントを想像しがちだろう。しかし実際はそれだけでなく、自らの管理下にある機器が他の誰か(特に重要インフラ等)を攻撃するという、間接的ながらも加害者となってしまうインシデントの危機が迫っている。

今回の調査はその危機感の共有のために、敢えて個人や事業者の宅内に踏み込んだ調査を行う。こうした取組を政府が進めることに「やりすぎだ」という批判もある。しかし、これも秘密裏かつ拙速に進められたものではなく、むしろ相当時間をかけて丁寧に議論が進められていた。そしてその経緯や考え方の多くは公開されており(参考=外部リンク)、パブリックコメント等の機会も提供されていた。GASKETの中でも様々な意見はあるが、少なくとも本稿の筆者はこうした政府の取組は「やむを得ない」と考えている。

一方で、IoT機器がネットワークに接続される際に、導入する側の責任が高まる中で、専門家のサポートも必要だ。これからのIoT機器は、そもそもセキュリティ対策が施されている(そしてそれがアップデートできる)のか、そして導入後にセキュリティ管理者が容易に制御できるものなのか、といった視点での調達・運用を進める必要があるだろう。

GASKET 2019年2月6日
NOIICEに成果は期待できるか

【関連記事】
・総務省、NOTICEの実施状況を公表
・総務省のIoT機器侵入調査「NOTICE」について
・NOTICEに成果は期待できるか