2019年1月25日、「国立研究開発法人情報通信研究機構法附則第8条第2項に規定する業務の実施に関する計画」という名称の計画について認可が下りました。この名前だけだと何のことやらわかりませんが、かなり重い意味を持つ計画です。
今回は、この計画認可が持つ意味を考察していきたいと思います。
参照国立研究開発法人情報通信研究機構法附則第8条第2項に規定する業務の実施に関する計画の認可/総務省
この記事の目次
日本におけるIoTセキュリティの現況
昨今、IT分野のキーワードとして「AI」と並んで「IoT」が注目されています。企業・個人を問わず、あらゆる電子機器をインターネットに接続させ、利便性を高めようとしています。しかし、IoT機器の安全性への意識はとても低い現状があります。
例えば、出張でビジネスホテルに泊まったとします。そこでwi-fiを使おうとしたところ、
- 暗号化方式の解析ツールがそこら中に溢れてるWEPだったり…
- 安全だとされるWPA2だとしてもパスワードがホテル名をそのまま使っていたり…
ということは”あるある”ではないでしょうか。
また、”デフォルト設定のまま”使用しているインターネットカメラを網羅して覗けるサイトなどもあります。国内一般企業の画像も沢山アップされています。
このような状況では、乗っ取りの容易いIoT機器も多く、サイバーテロの温床になり得ます。東京オリンピックを始め、国際的なイベントが続いていく日本においては、非常に深刻な潜在的脅威となっているのです。
認可された調査計画の内容は?
さて、日本のIoTセキュリティ事情が危機的な状況であることは事実です。国も当然この状況の改善に対策を立てねばなりません。そこで国は”IoT機器の調査”を目的に、下記の計画を立てました。
- 外から誰でもアクセスできるIoT機器がないか調べる
- アクセスにID・パスワードを要求する場合、そのID・パスワードの組み合わせが過去の大規模攻撃で使われたものでないか調べる
- 上記の調査で、問題があった機器の通信履歴を取得する。その記録を以って通信事業者に対処を要求する
1と2については良いです。問題は3の内容です。”これが許されるのか”ということです。
調査計画を現実世界に置き換えてみると…
この計画を現実世界に置き換えてイメージしてみると、下記のような内容です。
最近、地域に空巣が増えてきました。そこで、警察官が巡回します。
留守と思われるお宅があったら、訪問して鍵がかかっているかを確認します。
その鍵もペンチで簡単に切れるチェーンロックやつっかえ棒のようなものでないか確認します。
「危ないな」と思ったら、監視カメラを取り付けて出入りする人をチェックします。
そして、その記録ビデオを町内会長に見せて、注意を促してもらうようにしましょう。
さて、これは許されますかね?賛否両論はあると思いますが、少なくとも「このような計画を進めていくよ」という”周知”と”同意”、さらに「警察がやっているよ」ということの”証明”が必要になるのではないでしょうか。
調査を悪用した詐欺が増加する可能性
特に最後の”証明”は重要です。警察になりすましてカメラを取り付けたり、詐欺を働こうとする悪人が出てくることが考えられるからです。
今回認可された調査に便乗して、
- 調査であなたのIoT機器に脆弱性が見つかりました。つきましては、安全なパスワード:◯◯◯◯◯に至急変更してください。
- 調査であなたのIoT機器に脆弱性が見つかりました。こちらを熟読の上、効果的な対策を実施してください。サイト:http://www.◯◯◯◯◯.cm/
といった詐欺メールが届くであろうことは容易に想像できます。
調査実施は止めるべきなのか
ただ、「この計画はやらせるべきではないのか」となると難しいんですよね。過去のコラムでも触れているように、今の危機的状況は事実なので、早急な対応をするためには国が指揮をしなければならないでしょう。そして、国が通信事業者に協力を仰ぐうえで、”問題があるグローバルアドレスを証明する必要がある”というのもわかります。
なので、個人的には”実施すべきだと考えざるを得ない”という意見なのですが、運用については「通信の秘密」に抵触しないよう、慎重の上にも慎重を期す必要があります。何らかの監視体制が重要だと思いますが、そこは今回の発表では、まだ見えておりません。
この事態を引き起こした最大の要因は「IoT機器の販売者」
さて、予め「個人的見解」としておきますが、このような事態を引き起こした原因について述べさせていただきたいと思います。
様々な要因はあると思いますが、最大の責任は「IoT機器の販売者」にあると考えています。理由については、こちらも現実世界に置き換えてみればわかりやすいと思います。
自動車は移動に便利な乗り物です。
しかし、安全に運転できなければ、他者を巻き込み人命に繋がる大事故をおこす可能性があります。
そのため、販売業者も”買う人が安全運転できる人なのかどうか”、運転免許の確認をしますし、”変な場所に置いて犯罪に使われないよう”車庫証明を取らねばなりません。
翻ってIoT機器の販売ではどうでしょう?利便性を煽ってはいますが、買う人が”安全な設定が出来る人”かどうかの確認をしていますか?”どのような使い方をするのか”確認していますか?IoT機器は、乗っ取られたら世界中に迷惑をかける可能性があるものなのに。
最後に
売れるから。儲かるから。その為に、必要なリスク対策の説明と確認を疎かにしてきたツケが、現在の状況を引き起こしたように思われます。リスクを軽視したまま、IoT機器を販売してきた業者にも、一定の責任を負っていただきたいと感じるのは私だけでしょうか。