総務省が主導し、国立研究開発法人情報通信研究機構（NICT）が実施する、ネットにつながったIoT機器に｢侵入｣して適切なセキュリティー対策が行われているかを全数調査する｢NOTICE｣が2月20日から始まる。

NOTICE実施の報道発表があった2月1日以降、｢実際にIoT機器に侵入する｣という力技ともいえる手法と、その必要性についての議論が波紋を広げている。

総務省は報道発表後の反響についても認識しており、Business Insider Japanの質問に対して、

｢NOTICEホームページや広告などを通じ、国民の皆様にNOTICEの目的をご理解頂き、適切な対策を講じていただけるよう、NICT、電気通信事業者及び関係省庁などと連携して、きめ細かな対応を行って参りたい｣

と説明する。

この時期に実施する背景には｢我が国においても2020年オリンピック・パラリンピック東京大会などを控え、対策の必要性が高まっている｣（総務省）と、五輪開催に向けた対策であることを政府も認める。


NOTICEは何をするのか？

NOTICE SUPPORT CENTER

はじめに断っておくと、実際の機器に侵入する調査手法自体に法的な問題はない。2018年11月に施行された、NICTによるIoT機器への侵入調査を認める法改正（5年間の時限措置）に基づいて行われるからだ。

とはいえ、自宅や会社に設置した一部のウェブカメラやブロードバンドルーター、サーバー機能を持つ機器などに政府機関が侵入してくる……これを｢どこか気持ちが悪い｣と感じてしまう人がいるのは、仕方のないところだ。

NOTICEの公式FAQによると、対象となる機器は、ネット上に｢グローバルIPアドレス｣をもって接続されている機器約2億台。これを、ポートスキャンという比較的一般的な手法を使って調べ、約100通りの一般的に危険だとされるID、パスワードを使って侵入できるか調査を行う。

グローバルIPアドレスを持つ機器とは：パブリックIPアドレスとも呼ばれるが、機器1つ1つに対して一意のIPアドレス（インターネット上の住所のようなもの）を割り当てた状態の機器のこと。インターネットから特定機器へのアクセスが容易になるため、セキュリティー対策が不十分だと不正アクセスの標的とされやすくなる。

技術的な観点で重要なのは、実はポートスキャンのような｢侵入できる機器を探す｣行為は、悪意をもって不正アクセスを試みるハッカーたちが常々試していることでもある。つまり、ネットの中で｢可視化されていないだけ｣で、NOTICE同様の侵入を試みる行為は、日常的に発生しているのが実情だ。

IoT専門家が語る｢2020年に向けて待ったなしの状況｣

NOTICEの公式サイト。

気になるのは、このNOTICEのような試みは、本当に必要なのか？ということだ。

ソフトバンクやNECなど大手企業と提携し、国内のIoTビジネスを手がけてきたウフル社のIoT機器イノベーションセンター所長の八子知礼氏は、こうした全数の侵入テストの必要性について、私見ではあるがと断りつつ、｢IoTビジネスを推進する立場としては、この機会にやるべきだ｣という意見だ。

ウフルのIoT機器イノベーションセンター所長の八子知礼氏。

IoT機器のセキュリティー問題が大きく取り沙汰されたのは、2016年に流行したマルウエア（有害な動作をするよう悪意をもって作成されたソフトウエア）｢Mirai｣の問題が有名だ。

Miraiは監視カメラや家庭内で使うホームネットワーク機器、ブロードバンドルーターといったものをターゲットにしたマルウエアだ。これらの機器を狙って次々とハッキングし、乗っ取った機器のボットネットを作り、特定の企業やサービスに｢DDoS攻撃｣を仕掛ける。2016年当時に流行した際は、世界で推定10万台のIoT機器がボットとして利用されたとされる。

｢Miralの流行が問題視され、日本も対策すべし、というのが今回のNOTICE実施の一因にあります。そういう意味では、（2020年に五輪開催を控える日本にとって）2019年になってからの実施では、やや遅いくらいかもしれません。先進諸国でも、政府によるIoT機器のセキュリティーチェックの試みはさまざまな形で取り組まれはじめており、基本的には政府が旗振りを行なっていると理解しています｣（八子氏）

｢第二のMirai｣が起これば東京五輪を混乱させることは容易

NOTICEが侵入テストで使用するIDやパスワードの一例。一般的に｢使うべきではない｣とされる単純なものや、初期設定値として多用されるもの（adminやrootのIDなど）を想定している。

今回の総務省とNICTが行う侵入テストは、一般的に不適切だとされる100種類程度のパスワードしか試さない。つまり、｢セキュリティー対策の初歩の初歩ができていない状態｣の機器の検出を目的としたテストと言える。

こうした初歩レベルの指摘は、大きなビジネスにならないことから、多くのセキュリティーベンダーも手を出しにくい領域で、しかし潜在的な数が非常に多い。

｢全世界のネットワーク機器のうち、一説には6割ほどが、初期パスワードから一切変更されていなかったり、容易に推測できるパスワードで運用されていると言われています。実際、ネットに接続された（セキュリティー対策が不十分な）コピー機やプリンターは今も普通に検出されます。民間に任せていても、これ以上事態が改善されない、というのがまず危機感の前提としてあるわけです｣（同）。

従って、こうしたセキュリティー懸念の指摘を国内全数・一律に実施できるとすれば、日本政府がやる以外なかっただろう、という指摘だ。

もし、セキュリティーホールがあるIoT機器が｢踏み台｣にされてMiraiと同じようなことが起こればどうなるか？

｢ロンドン五輪（2012年）、リオ五輪（2016年）を経て、ネットワーク機器の数も、ネットを流れるデータの通信量（トラフィック）も激増してきましたし、東京五輪ではより一層増えるでしょう。さらに、世界中から訪れる観戦客が会場内の模様をSNSにアップロードするなどで、通信回線も逼迫するはずです。こうした中で、足回りを担う通信回線やサーバーに過大な負荷を与えるような攻撃は、起こらないとも限りません｣（同）

八子氏はさらにこう続ける。

｢また、NICTが2月6日に発表したダークネット観測統計によると、2018年の1年間で1つのIPアドレスあたり約79万パケットの攻撃パケットが届いていることがレポートされています。すでに通信量や対象機器のみならず、アタックの数が大量に行われていることを看過できないところまできています。 たとえば（多数のIoT機器を踏み台にして）DDoS攻撃を五輪の公式サイトに仕掛ける。それによって、競技スケジュールにアクセスできない状態にする、あるいは会場移動などに使う交通機関の情報を見られなくすることも考えられます。（一気に観光客が増える五輪の時期には）その程度のことでも、容易に混乱が起こり得る状況だと言えます｣（同）

NOTICEは｢実施後｣の対応こそが重要

撮影：今村拓馬

NOTICEによって、国内の｢セキュリティー無策のIoT機器｣があぶり出されたとして、その後はどうなるのか。

八子氏は、｢実施後の対応こそ、むしろ懸念が多い｣と見る。大きく分けて、指摘のポイントは以下の2つだ。

推測として｢管理者不在のゾンビ機器｣が一定数ある可能性 主に企業の場合、指摘されたとして2020年までに対策が完了できるかが不透明

NOTICEで社内にゾンビ機器が見つかる可能性は、企業の情シス担当にとっては今後しばらく悩みのタネの1つになるだろう。しかし、より懸念すべきは後者、つまり企業側が対策完了するまでの｢時間｣の問題だ。

｢問題は、セキュリティーホールを指摘された企業の対策コストが、その状況次第でまったく異なることです。“機器のパスワードを変えてください”レベルなら負担は軽微ですみますが、“機器のファームウェアを更新する必要がある”だったり、“そのファーム更新は有償対応”だったりすると、場合によっては予算取りの話になります。 さらに重篤（じゅうとく）なケースでは、パスワードやファームウェア更新では足りず、“機器の前にファイアウォールなどを導入してください”というケースもあるかもしれない。これは規模によっては結構なコストを覚悟しなければいけません。NOTICEはそこまで重篤なケースまで検知しない、ということでしょうけど、それはそれで問題なわけです｣

NOTICEは世の中に警鐘を鳴らすことはできそうだが、それにしても指摘の内容・レベルには限界があるということだ。さらに、NOTICEがこの時期に実施されることは別の心配を呼ぶ側面がある。

｢一方、NOTICEの実施は2月20日からですから、一般的な企業の2019年度予算は、ほぼ決まってしまっている可能性が高い。では2020年度予算で……となると、（五輪開催の2020年7月までに）果たして間に合うのか？ その点が個人的に心配です｣

2020年4月にIoT機器の技術基準の省令改正も予定

撮影：今村拓馬

最後に、NOTICEのチェック完了は一体いつになるのか？

NOTICEの｢通知｣に大手プロバイダーとして協力するNTTコミュニケーションズ広報によると、実施完了時期については｢明確な時期はまだ決まっていない｣（広報）という。通知手順は｢NOTICEを実施するNICTから、プロバイダー側に（セキュリティー不備の一覧）リストが届き、それに基づいて順次メール連絡をしていく｣（同）という流れだ。

一方の総務省も、NOTICE完了の時期や目処について、現時点で明確な回答をしていない。

実施結果のレポート公開時期については、｢時期については未定ですが、我が国のサイバーセキュリティー確保の観点にも留意しつつ、本取組の実施状況を取りまとめ、公表することを予定｣と表現している。

総務省は、一連の注意喚起を一過性のチェックに終わらせるのではなく、五輪開催までにもう一歩踏み込んだセキュリティー強化促進を推進する意向だ。

総務省は編集部の問い合わせに対し、｢IoT機器の技術基準（端末設備規則）に初期設定のパスワード変更を促す機能やファームウェアの更新機能等を追加する省令改正を行い、2020年4月に施行する予定｣（総務省）と回答している。

（文、写真・伊藤有）