NOTICEとは?

総務省「NOTICE」サイト

2020年の東京オリンピックに向けて、インフラを標的としたサイバー攻撃に対して脆弱なIoT機器が悪用されるのを防ぐために、総務省の管轄のもと、情報通信技術研究所によってIoTデバイスに関する調査が行われています。
その一環として2019年2月20日からネットワークに接続されたWebカメラやセンサー等のIoT機器に対して接続を試みる調査が行われるとの発表がありました。この調査のことを「NOTICE」と言います。

調査方法はIoT機器に対するポートスキャンを行い、開放されているポートに対して、IDとパスワードの組み合わせでのログインを試みます。このIDとパスワードの組み合わせには、機器の出荷時に設定されていたものや、同一な文字や連続の番号など単純なパスワードなどの約100通りの組み合わせを使用します。
この方法でログインできた脆弱な状態のIoT機器のユーザーに対して、プロバイダーを通して脆弱性の注意喚起を行うというものです。


なぜこの調査が物議を醸しているのか?

物議を呼んでいるのはこの調査がハッキング行為、つまり不正アクセスに該当し、違法なのではないか、という点です。
これに対して総務省ではNOTICE専用サイトにてFAQにて以下のように答えています。(以下、Q&Aの部分は、総務省NOTICEサイトより転載)

Q.このような調査は不正アクセス行為ではないのか

A. ポートスキャンは不正アクセス禁止法で禁止されている不正アクセス行為ではありません。
NICTが実施計画に基づき、容易に推測されるID、パスワードを外部から入力し、サイバー攻撃に悪用されるおそれのあるIoT機器を特定することは、昨年改正されたNICT法※において、不正アクセス禁止法で禁止されている不正アクセス行為から除外されています。(※)NICT法附則第8条第7項に規定

この回答だと裏を返せば、2018年に行われたNICT法において、今回の調査を実現するための特別な法改正が行われた結果、今回のNOTICEが違法ではなくなったと言うことになります。つまり、この法的な例外がなければ、調査で行う行為自体は一般的には不正アクセスに該当する行為、ということなのでは・・・。( ̄Д ̄;)

Q. 本調査は通信の秘密を侵害しないのか

A. NICTが行う調査は、容易に推測可能なパスワードを外部から入力することなどによりサイバー攻撃に悪用されるおそれのある機器であるかを確認するものであり、当該機器と第三者との間の通信の内容等を知得、窃用又は漏えいするものではないため、通信の秘密の侵害には該当しません。

ということで、問題はないと回答しています。(ただし反響が大きいため、フリーダイヤルのNOTICEサポートセンターを設けて一般からの問い合わせの受付も開始しています。)

しかしながら、今回の調査でログインできてしまったIoT機器に対しては、「問題があった機器の通信履歴を取得する。その記録を以って通信事業者に対処を要求する」ということで、この通信履歴の取得の部分が違法行為になるのではないか、という声もあがっています。

さらに調査でのログインの試みが、今回のNOTICEによるものなのか、そうでない悪意の第三者によるものなのか判別できないために、ログインを試みられた機器の管理者側に、不正アクセスの疑いに対する余計な対応の手間を引き起こしてしまう恐れがあることも指摘されています。

このような課題がある状況のまま、この荒療治とも言える調査が実施されてしまうのは、どのような背景からなのでしょうか。


なぜNOTICEが必要なのか?

インターネット接続機器の中で、一番サイバーテロに悪用される恐れがあるのがIoT機器です。IoT機器に侵入され、個人の情報やプライバシーが侵害されるのを防ぐ、というのは本来の趣旨ではありません。通信量が急激な増大による大規模な通信障害や、インフラ施設を狙ったサイバーテロ攻撃が発生するの未然に防ごうというのが、NOTICEの趣旨なのです。

事前の調査において、IoT機器が実際に悪用されており、その数が年々増加しているということが分かっています。
悪用されているのは、この課題が認識される前に、安直なIDとパスワードを設定されて出荷され、そのまま変更されずに使われているIoT機器がほとんどです。
そこで、今回のNOTICEで、こういったIoT機器のIDとパスワードを変更させて、脆弱な機器を減らしていこうとしているのです。

この課題が認識されてからは、メーカー側でも安直なIDとパスワードを設定しないようになってきました。
とは言っても、ユーザー側でも「それなら大丈夫」とはせずに、購入後にきちんとオリジナルのIDとパスワードを設定するようにしましょう。


2/20より調査スタート!

NOTICEの調査は2019年2月20日より開始されます。総務省ではNOTICE調査に対する認知と理解を高めるべく、広報活動をしているようですが、残念ながらまだほとんど認知が進んでいない状況のまま、調査開始になることと思います。

正しい周知が進まないと、調査自体による問題ではなくても、この調査を悪用するケースが出てくることも想定できます。
それは正しい調査機関を詐称して、嘘の調査結果を連絡してユーザーを騙し、IDやパスワードを盗んだり、指定するものに変えさせてしまうなど、フィッシングメールが横行する恐れです。
総務省は調査の開始に伴い、認知促進を図ると同時に、こういった便乗詐欺への警鐘も忘れずにやっていってもらいたいところです。

この記事を読んだ皆さんは、少なくともご自分でお使いのIoT機器のID&パスワード設定を見直しておきましょう。

<参考>
総務省NOTICEサイト