政府“IoT機器2億台にサイバー攻撃”が疑問視される4つの理由 - 「NOTICE」20日から実施

総務省が発表したIoT機器セキュリティ検査の内容に衝撃が走った。検査方法が、IoTデバイスを狙う無差別サイバー攻撃そのものだったからだ。「NOTICE」と銘打ったプロジェクトで、IoT機器2億台を対象に2月20日から実施される予定。NOTICEの目的、具体的な内容とともに、疑問視される理由を4点に整理した。

政府“IoT機器2億台にサイバー攻撃”が疑問視される4つの理由 - 「NOTICE」20日から実施

総務省のサイバー攻撃対策が衝撃を与えた

1月25日に発表された総務省の報道資料「国立研究開発法人情報通信研究機構法附則第8条第2項に規定する業務の実施に関する計画の認可」が、日本のITセキュリティ業界に衝撃を与えた。発表内容は、「特定アクセス行為」といった業務の実施を情報通信研究機構(NICT)に認可する予定、というもの。衝撃的なのは、この特定アクセス行為が国内のIoTデバイスを狙う無差別サイバー攻撃そのものだったからだ。

「NOTICE(ノーティス)」と銘打ったプロジェクトで、2月20日からの実施を予定している。

総務省は、なぜ率先して「サイバー攻撃」をするのだろう。これに違法性や危険性はないのか。報道資料で業務内容を把握し、問題点を整理していこう。

政府みずから「不正アクセス」する目的と内容

特定アクセス行為を含む業務の目的と内容は、総務省サイバーセキュリティ統括官室の業務計画を読むと理解できる。

出典:総務省サイバーセキュリティ統括官室 / 国立研究開発法人情報通信研究機構法(平成11年法律第162号)附則第8条第2項に規定する業務の実施に関する計画の認可申請の概要

それによると、総務省はセキュリティ対策の不十分なIoT機器がサイバー攻撃に悪用されることを懸念しており、攻撃の踏み台にされそうなデバイスを見つけ出し、管理者に対策を促そうというわけだ。

実際の業務は、大きく調査、通知、注意喚起の3段階に分かれる。各段階で実施される作業は、以下のとおり。

1:IPアドレス2億個にアクセス試行

調査対象は、日本国内に約2億個あるグローバルIPアドレス。インターネットに直接接続されているルーターや監視カメラなどが調査対象になる。

調査では、最初に各IPアドレスへ接続要求を送り、そのIPアドレスを持つIoT機器が通信可能かどうか調べるポートスキャンを実施する。通信できた機器には、適当なIDやパスワードの組み合わせでアクセスを試みる。これが、総務省のいう特定アクセス行為だ。そして、アクセスに成功したら該当IPアドレスなどをデータベースに記録する。

特定アクセス行為の際には、過去の大規模サイバー攻撃で利用されたIDとパスワードの組み合せ約100通りを使う。たとえば「111111」「123456」「abcdefg」といったものや、ルーターなどに設定されている初期パスワードを一つひとつ試しながら、認証できるかどうか確認していく。

出典:総務省サイバーセキュリティ統括官室 / 国立研究開発法人情報通信研究機構法(平成11年法律第162号)附則第8条第2項に規定する業務の実施に関する計画の認可申請の概要

2:危険性を電気通信事業者へ通知

通知段階では、特定アクセス行為でアクセスに成功したIPアドレスの管理者へ、「安全性の低いIoT機器が接続されている」という内容の情報を提供する。具体的には、そのIPアドレスをユーザーに割り当てているISPなどの電気通信事業者(プロバイダー)が通知を受け取る。

ユーザーでなく電気通信事業者に通知する理由は、該当IPアドレスが割り当てられた機器のユーザーに連絡するにしても、ユーザーの身元は契約している電気通信事業者しか分からないからだ。

3:ユーザーに注意喚起

通知された電気通信事業者は、通信ログなどを参照し、該当IPアドレスの割り当てられていたユーザーの連絡先を調べる。そして、そのユーザーに対し、パスワード変更やぜい弱性修正などのセキュリティ対策を実行するよう注意喚起する。

といっても、一般の消費者がルーターなどを操作して適切な対策を講じられる保証などない。そこで、総務省は「注意喚起を受けた機器の利用者が、パスワード設定の変更等を円滑に行えるよう、サポートセンターを設置」するとしている。ユーザーがサポートセンターに問い合わせると、パスワード変更方法などを教えてもらえるらしい。

出典:総務省サイバーセキュリティ統括官室 / 国立研究開発法人情報通信研究機構法(平成11年法律第162号)附則第8条第2項に規定する業務の実施に関する計画の認可申請の概要

政府がサイバー攻撃、4つの問題点

この政府がサイバー攻撃を主導するともとれるプロジェクトについては、とかく批判の声が多く挙がった。具体的に何が問題視され、疑問視されているのだろうか。4つのポイントを整理した。

違法な不正アクセスと同じでは?

適当なIPアドレスに適当なパスワードでアクセスを試みる行為は、サイバー犯罪者がよく使う手口で、法律で禁じられている不正アクセスと変わらない。つまり政府は、国内のIoT機器に不正アクセスを仕掛ける、と宣言したことになる。

特定アクセス行為の法律問題をクリアするため、NICTに関する法律「国立研究開発法人情報通信研究機構法」を改正した。さらに、5年間の時限措置とすることで、例外的にNICTの不正アクセスを認めたのだ。

データが犯罪者を呼び寄せるかもしれない

法改正などで違法性はクリアできるが、ITセキュリティ関係者は問題を指摘している。

特定アクセス行為で集めたIPアドレスなどのデータは、サイバー犯罪者にとって宝の山である。ここに記載されているIPアドレスに攻撃を仕掛ければ、高い確率で成功させられるだろう。国が脆弱なデバイスの情報を集めてくれているわけで、サイバー犯罪者が自力で行うはずの調査作業を政府が肩代わりしたようなものだ。

総務省はもちろんデータを厳重に管理するとしているが、この種の業務やシステムにミスはつきものだ。しかも、犯罪者たちは魅力的なデータを盗もうと、あの手この手で攻撃するに違いない。集中砲火を浴びても総務省はデータを守れるのだろうか。

特殊詐欺に悪用されるかもしれない

これは杞憂(きゆう)かもしれないが、電気通信事業者からの注意喚起は特殊詐欺の材料に悪用される可能性もある。「政府の調査により、お宅でインターネット接続しているルーターに問題が発見されました。作業員が対策に伺いますので、対応をお願いします。手数料は……」といった具合だ。

セキュリティ対策効果が得られないどころか、こうした詐欺に注意するよう呼びかける手間が増える恐れもある。

そもそも効果が期待できるのか

そもそも、安全性の低い機器を使っているユーザーに注意喚起したところで、効果は疑問だ。

電気通信事業者から機器の問題を指摘され、わざわざマニュアルを調べたりサポートセンターに問い合わせたりして設定変更するユーザーは、どれだけいるだろう。政府が対策を強制することや、インターネット接続を遮断することも不可能だ。

多くの予算と人員、手間をかけたところで、大した効果は期待できないと考えられる。

IoTセキュリティ対策は喫緊の課題だが

IDC Japanは国内IoT市場の規模を、2022年に支出額11兆7,010億円と見込んでいる。またIDCによると、2022年には全世界で支出額が1兆ドル(約109兆円)を上回る見通しだ。

大きな拡大の予想されるIoT市場だが、IoT機器はセキュリティ耐性が問題視されている。演算能力やメモリー容量、通信速度の限られるIoTデバイスはセキュリティ対策の難しいものも多く、サイバー攻撃に悪用される危険性が高い。ガートナーの予想では、IoTセキュリティに対する支出額が2021年には31億ドル(約3,376億円)を超えるという。それだけIoT機器のセキュリティ対策が重要なのだ。

大規模なセキュリティ攻撃やサイバーテロがいつ起きてもおかしくない現状で、IoT機器のセキュリティ対策は喫緊の課題といえる。しかし、総務省とNICTが計画している今回の取り組みは、対策になるだろうか。税金を投入し、電気通信事業者を巻き込むからには、相応の成果が見込めない限り考え直すべきだ。

IoTセキュリティ支出3割増 市場規模も拡大、膨らむ期待と不安 | ボクシルマガジン
IoTという言葉は珍しくなくなり、事実、いつのまにか身の回りにIoTデバイスがあふれるている。市場は拡大を続け、2...
IoT市場拡大はソフトウェアとサービスがけん引、2022年11兆7,010億円へ | ボクシルマガジン
IT専門調査会社 IDC Japan は9月12日、国内IoT市場におけるテクノロジー別の支出額予測を発表した。そ...
サイバー攻撃にもAI、クラウド狙う 2019年セキュリティ予測3つのポイント | ボクシルマガジン
ICTのおかげで生活が便利になった一方で、サイバー攻撃の危険にさらされるリスクも身近に迫っている。マカフィーは、2...