総務省がIoT機器に侵入調査…約2億のグローバルIPへ!

1月25日のニュースで、総務省がIoT機器に対して侵入調査を行うことがわかりました。

総務省のサイトで確認すると、この調査は、IoT機器などをターゲットとしたサイバー攻撃の深刻化を踏まえ、国立研究開発法人・情報通信研究機構(NICT)の業務に、パスワード設定等に不備のあるIoT機器の調査等を5年間の時限措置として、追加されるものです。

調査方法について

日本国内の約2億のグローバルIP(IPv4)を対象に、アクセスしてID、パスワードによる認証要求があったものについて、ID、パスワードを入力し、特定アクセス行為を行うことができるか確認するとのことです。

なお、入力するIDとパスワードは、過去に大規模なサイバー攻撃に用いられた組合せ約100通りを入力・確認するとしています。

まさに、一般人がやるなら不正アクセスですよね。

日本の現状例(IPカメラの場合)

この調査は、たとえセキュリティのためとは言え、少し過激な気がしないでもないですが、状況はそれほどひどいとも言えます。

例えば、「Insecam」というサイトがあります。

以前記事にしていますので、よろしければ下記をご覧ください(Insecamについて少しだけ触れています)。

少し前に話題になりましたが、あなたは大丈夫ですか? まさか、ノートPCのカメラを自分で使っていないから、平気だなんて思っていませんよね...

このサイトは、世界中の無防備なIPカメラなどの映像を、誰でもみることができるようにしています。

本日(1/27)の段階で、日本のIPカメラで映像を見る(覗ける)ことができるものは、2144機器ありました。

insecamについて

insecamによれば、このサイトのカメラ映像は、ネットワーク監視セキュリティカメラだけが収集されており、PCのUSBカメラとノートブックの内蔵カメラは含まれていないとしています。

また、サイトに掲載されているすべてのカメラは、パスワードで保護されていなく、解決策はパスワードを設定することだそうです。

侵入する必要すらない?

insecamの言っていることが本当なら、侵入する必要もなく映像を見ることができてしまうということになります。

家に例えると、窓やドアを開けっ放しにしているようなものですので、家の前に立てば、外から普通に見えることになります。

安全運用という概念が抜け落ちている

このカメラ映像をみると、いつも思うのですが、なんでこんな状況になっているのか…ということです。

ある程度のセキュリティ知識がなければ、IPカメラを設置・運用できないと思うのですが、マニュアルに沿って設置だけして、満足しているのかもしれません。

また、ネットやITに少し詳しいレベルの人に取り付けてもらって、あとは何も気にせずただ利用しているだけなのかもしれません。

つまり、セキュリティを考えて安全に運用していくという考え自体を、もっていないということだと思います。

日本ならば、スボンのお尻のポケットに、大きな財布がはみ出していても盗まれることは、ほとんどありません。

その感覚で、治安の悪い国の危ないエリアへ行ったりしたら、アッという間になくなってしまいます。

ネットに接続するということは、そのようなエリアとも繋がっているようなものですから、日本にいるような感覚でいると驚くことになります。

と言うより、すでにそのような状況になっています。

まずは基本から

IPカメラの件もそうですが、まずはIoT機器のIDとパスワードの見直しから始めましょう。

特に、初期設定のままになっている場合は、パスワードがないのと同じですので、まずそのことを認識しましょう。

まとめ

総務省、日本国内の約2億のグローバルIP(IPv4)を対象に、パスワード設定等に不備のあるIoT機器の侵入調査へ

この調査は、国立研究開発法人・情報通信研究機構(NICT)によって、5年間の時限措置として行われるようです。

insecamというサイトを見てビックリ

ここでは、世界中の無防備なIPカメラなどの映像を、誰でもみることができるようにしています。

本日(1/27)の段階で、日本のIPカメラで映像を見る(覗ける)ことができるものは、2144機器も存在。

これらのカメラは、パスワードで保護されていないとしています。

設置して満足しているのか、安全運用という概念が抜け落ちているようです。

スグに対応しよう

まずは、IoT機器のIDとパスワードの見直しから始め、初期設定のままになっている場合は、スグに変更しましょう。

これは、IoT機器だけではなく、パソコンやその他のIDとパスワードにも言えることです。