総務省認可のIoT無差別侵入調査に対して考えるべきこと

総務省 IoT機器に無差別侵入し調査へ 前例ない調査に懸念も - NHKニュース
調査は家庭や会社などにあるルーターやウェブカメラなどのIoT機器およそ2億台を対象に来月中旬に開始し、無差別に侵入を試みて、初期設定のままになっているなどセキュリティー対策の不十分な機器を洗い出し、ユーザーに注意を促すとしています。
という記事が掲載された。
何を行うかを、ざっくり整理すると、
  1. 不正アクセス行為※による調査
    1. 個人や会社にある機器のポートスキャン
    2. 過去に大規模なサイバー攻撃に用いられたID、パスワードの組合せ約100通りを入力し、不正アクセス行為を試みる。
  2. 1の結果を通信履歴等の電磁的記録の作成
  3. 2の結果のうち脆弱とされた機器について電気通信事業者への通知
ということを行う。
これは、以下に示す総務省に掲載されている資料から記載した。
※なお、NICTが示す資料には「特定アクセス行為」としているが、分かりやすく既存の概念としてここでは「不正アクセス」と表記した。もっとも今回の調査において特別に適法としているだけで、行おうとしていることはいわゆる不正アクセス行為と相違ない。ちなみに、今回の調査を適法にするため、「国立研究開発法人情報通信研究機構法」が昨年5月に改正、11月に施行されている。

国立研究開発法人情報通信研究機構法附則第8条第2項に規定する業務の実施に関する計画の認可

 私見としては、このような調査が政府によってされること自体に様々な危険性を秘めていると感じているが、すでに来月にはこの計画が実施されることが決まっており、遅かれ早かれ対応は不可避である。

市民は何をすればいい?

個人や企業はあらかじめ対策を行っておくほうが賢明である(もっとも、それらの対策をしてもらうことがNICTも目的なので、どんどんやっておくべきだ)。
筆者の私見であるが、以下の3つを確認しておくとよい。

機器のパスワードを見直す

機器の設定画面に入るためのパスワードを見直しておく。見直すべき機器は以下のようなものが考えられる。
  • ルータ
  • プリンタ
  • NASなどのファイルサーバー類
  • その他、外部につながる可能性のある機器
ルータに管理者用の機能があることを知っている人は多いはずだ。
一方、プリンタやNASなどの機器にもサーバー機能を持っているものも多い。それらが意図せず外部に公開されていることも指摘されている。それらのID/パスワードを見直すことも必要だろう。
少なくともこれらの設定がデフォルトのままにしてはならない。必ず強いパスワードに変えておくようにしよう。
外部の機器から自身のIPアドレスやポートにアクセスをしてみて、実際に認証画面が現れないか調査を試みるのもよい。ただし、他人の機器にポートスキャンをすることは敵対的な行為であるので、予め自身の組織に確認したうえで自身の機器にのみ行うことが賢明である。また、他人の機器に不正にログインを試みることは不正アクセス行為であり、違法なので行わないこと。
以前に強いパスワードを作る方法を書いたので参考にしてほしい。

調査されるIPアドレスに注意する

調査の上で、使用されるIPアドレスは先程の総務省のページに掲載された資料に公表されている。


  • 153.231.215.11~14
  • 153.231.216.179~182
  • 153.231.216.187~190
  • 153.231.216.219~222
  • 153.231.226.163~166
  • 153.231.226.171~174
  • 153.231.227.195~198
  • 153.231.227.211~214
  • 153.231.227.219~222
  • 153.231.227.226~230
以上の41個のIPアドレスから行うとされている(2019年1月28日現在の公表内容)
これらのIPアドレスがルータなどから検出された場合、今回の調査によるアクセスがされたと考えてよい。
なお、NICTの日本国内でインターネットに接続されたIoT機器等に関する事前調査の実施について(12月10日更新)によると、すでにポートスキャンのレベルが事前調査として行われており、以下のIPアドレスが使われている(2019年1月28日現在の公表内容)。
  • 210.150.186.238
  • 122.1.4.87
  • 122.1.4.88
  • 150.249.227.160/28
これらのIPアドレスからのアクセスについては上記の調査である(と思われる)。業務上そういった理解であってよいと思われる。

なお、自身のプライベートな機器でIPアドレスブロッキングを行うこと自体は何ら違法性はなく、当然の権利である。

電気通信事業者から連絡に焦らず冷静に対応する

いつ頃になるかは不明だが、調査後にNICTから第三者機関を経て電気通信事業者にログ(を加工した記録?)が渡される。その電気通信事業者から連絡があるとのことだ。
注意すべき観点がいくつかある。
  • その連絡は本当に電気通信事業者からの連絡か?
    • このような連絡がある場合には往々にして「詐欺」を目的とした「偽の人物」からの連絡が行われる危険性を秘めている。
    • この連絡については、どのような連絡がされるかは、まだ不明である。ただ、文書等で行われる可能性のほうが高く、電話等では対応されないと思われるので、詐欺電話などには気をつけること。
    • 同様にフィッシングメールなどにも気をつけること。
      • これらの設定にほどんどの機器において、特別なソフトウェアは必要ない。ましてや、電気通信事業者にその機器に関する設定は分からないようになっているはずだ。
      • よって、電気通信事業者からなにかソフトウェアのインストールを求めるようなことはない。もし求められる場合は、ランサムウェアなどの危険性もあるので、行わずに後述するサポートセンターなどに問い合わせること。
    • もちろん金銭等を要求されることはない(はず)。ましてや、脅されるようなこともない。そのような場合は、詐欺を疑うこと。
    • 上記のようなことがあれば、警察等に通報すること。自身に被害がない状況なら後述のサポートセンターに言うでもいいかも(断定できないけど多分大丈夫だろう・・・)。
  • 後日サポートセンターを設置されるため、そこに確認する。
    • サポートセンターでどこまでの対応が行われるかは不明である。具体的な真偽を確かめることはできないかもしれない。ただ、不安に思うなら確認してみるほうがよい。
    • 疑わしいと感じた場合は、総務省のホームページなどから公表されるだろう正規と判断できるサポートセンターに問い合わせて確認してみること。
    • 2019/01/28現在、サポートセンターはまだないので注意。総務省のホームページを確認すること。
  • 正規の連絡と確認できたら速やかに対応する
    • 調査されたIDパスワードは不正アクセスされる危険性の高いIDパスワードである。また、その認証を外部からできる状況も危険である。
    • 合理的な理由がない限り、IDパスワードについては変更すること。
      • 可能な限りIDもパスワードも変更すること。
      • 機器によってIDは変更できないものもあるが、パスワードは必ず変更できるようになっているので、安全性の高いパスワードに変更すること。
    • 外部から認証できないようにすること
      • 業務などの都合上により必要ではないのであれば、ファイアウォールの設定・設置やポートを閉じるなどの対応を行うこと。
以上は、筆者の私見である。
第一は、総務省やNICTから何らかの公表があった場合は、それに従うべきである。
また、具体的な対応は、ご自身が機器に詳しくないのであれば、身の回りの信用できる詳しい人や社内の技術者などに相談しておくべきである。

信じるためには疑うことから始める

最後に、冒頭の記事中には、このように言及されている。
情報通信研究機構サイバーセキュリティ研究室の井上大介室長は、「目的以外のデータを得たり、調査で得たデータが外に漏えいすることが一切無いように厳格なルールを設けている。この調査は国民の安全安心のためのものなので、ルールにのっとって運用していく」と話しています。
彼らは専門家であり、政府に関連する機関であるので、一定の信用はおいていい。
ただし、こうまでフラグを建てられたら、どうせ漏えいされるだろうぐらいの冷めた考え方で見ておいたほうが賢明である。これは、総務省やNICTが信用できないのではなく、それよりも強い人物や組織(場合によっては他の国の政府に支援されている組織…)もあってもおかしくない、という観点だ。
もっとも同様のことは、日常的に調べられていることは留意するべきであり、今回のことに限らずあらかじめ対応しておくべきである。

自分や家族の身を守るのは、最初に自分でしかないということを肝に置きたい。
Scrapboxでもいろいろ整理していくつもりだ。

コメント

コメントを投稿

このブログの人気の投稿

リモートワークをLogicoolのマウスとキーボードで複数PC切り替えて優勝した

イメージ
デバイス多すぎるんやが問題 仕事上シンクライアントPCを支給されているのだけれども、当然キーボードとマウスが増えるのでとても面倒くさい。 シンクライアントPCはノートPCなのでノートのキーボード使えやって話でもあるけど、使いにくいでしょ? ということで、自前のをつないでいるんだけれど、メインPCでも調べごとしながらしているとなかなか作業場が厄介になる。 メインで使っているのはMXREGOじゃない 上図のマウス1に当たる部分はLogicoolのMX REGOというトラックボールマウスである 「そういえばこれPC2台接続できるじゃない? ということで、ついでにキーボードも切り替えできるものとしてK375sを購入した Logicool K375s Multi-Device Wireless Keyboard & Stand Combo 構成 問題点 シンクライアントPCにLogicoolのソフト入れられない シンクライアントPCなのでLogicoolのPCにUnifyingソフトウェアを入れることができない。 つまり設定することができない つまり詰んだ? ぴえん🥺 解決法 「聞こえますか…UnifyingはBIOSで認識できるのです...」 アラサーおじさんが泣いていると直接脳内に声が聞こえました。 アメージング! Unifyingレシーバーは直接デバイスとペアリングしているのです! ここらへんの仕様を調べたのですが、Logicoolのホワイトペーパーとかも見当たらないし、今ひとつつかめないんですよね。 同じような無線仕様のBluetoothはアプリケーションレベルで解決してるっぽい?のですが、Unifyingはハードウェアレベルで解決してるようですね。 話はそれましたが、解決法はこうです。 メインPCに2つ目のレシーバーを挿す 通常どおりペアリングする そのレシーバーを外しメインPCには元のレシーバーを挿す シンクラPCに2つ目のレシーバーを挿す これで解決できました。レシーバー上にペアリング情報が残るのですね。なので、こういった他PCでペアリングして指し直して使うという取り回しができるようですね。 リモートワークも一組のキーボードとマウスですむようになった
続きを読む

VBAでのInterfaceやキャスト

前段 個人的に、Excel VBAを仕事で組む機会がある。 自由に組んでいるので、いろいろと設計方法、実装方法を考える。 VBAのインターフェース VBAにはJavaでいうextendsのような継承はない。 Interfaceがあるので、ポリモーフィズムを実現するときは、これを使うのが一つの方法論だ。 ただ、インターフェースは、というか、VBAはクラスのキャストができない。 インターフェイス自体が、そうする性質のものではないのだが、つい欲しくなるときがある。 Object型 さて、話は変わるが、VBAには、Object型というものがある。 平たく言うと、あらゆるクラスに適する型である。あらゆるクラスのスーパークラスと思うと話が早い。 そして、Objcet型からは元のクラスで実装したプロシージャを呼ぶことができる。ObjectによるポリモーフィズムもVBAでは可能、といえる。 なので、ダウンキャストを実現するために、インターフェイスでインスタンスが自己をObjectで出力するためのメソッドを定義してあげることで、スーパークラスからサブクラスへのキャストを実現する。 実装例 Class InterfaceClass '' プロパティ Public porp as String  '' イミディエイトウィンドウに出力する Public Sub printOut() As String End Sub '' 自己をObject型で出力する Public Function Object() As Object End Function Class ImplementClass '' InterfaceClassを実装する Implements InterfaceClass '' スーパークラスのGet,Letのため、 '' 値を保持しておくためのプロパティ Private prop As String '' Getter Public Property Get InterfaceClass_prop() As String InterfaceClass_prop = prop End Property
続きを読む

SUPERHOTがいかにSUPERHOTか語りたい

イメージ
注意 ただの感想の垂れ流しです 全世界が驚愕した待望したゲーム性 SUPER HOT は、今までで3作でている。 SUPER HOT (以下SUPERHOT) SUPER HOT VR(以下VR) SUPER HOT : MIND CONTROL DELETE(以下DELETE) SUPERHOTは2013年にKickStarterでクラウンドファンディングされて、見事成立させできたゲームだ。 このゲーム性は、シンプルかつ非常に魅力的なものだった。 「自分が動いている間だけ時間が進む。自分が動かなければ(ほとんど)すべてが止まる」 映画MATRIXの有名な場面のように 弾丸が止まって見える を体現したゲームだったのだ。 死角から弾丸が発射されても、軌道を見てから紙一重で避けて、反撃する。そんな映画みたいな演出を実体験できる。 ブラウザでできるプロトタイプからそれが実現できていた。 プロトタイプを再生する-SUPERHOT クラウンドファンディングが成功して当然のゲームなのだ。 質実剛健なグラフィック SUPERHOTが発売されたものは、グラフィック自体は特に凝っているわけではなかった。すべて3Dグラフィックだが、ポリゴンチックで2013年当時でもきめ細かいグラフィックとは言えない。 ただ、その表現が非常にゲームとしてシンプルかつ機能美を追求したものだった。 敵は赤色 武器は黒色 ステージなどその他は白色 直感的でゲームを理解できる。そして、敵キャラクターはほとんど同じ造形のポリゴン。ただの記号だ。 ゲームはゲーム。下手な感情移入など不要。そう言わんばかりの作りだ。 先の「映画的な楽しみ方」を100%没頭させるゲームなのだ。 シンプルなゲーム性に高い戦略性 しかし、一言でいうとこのゲーム「死にゲー」である。 ルールハシンプルだが、かなりの高い戦略性を求められる。 1対1で射撃戦を講じるなら余裕だろう。しかし、このゲーム敵がわんさか出て、1対多を必然的に求められる。 360度どこから弾丸が飛んでくるか分からない。故に、全体を見渡しての状況把握が必要となる。 そうやって視点を動かしている間に背後を取られる、などというのもしばしば起こる。 そして、「ゲームオーバー」 さながら、ワンマンアーミーの過酷さ
続きを読む