無料セキュリティ対策に不安がある企業必見！「セキュリティ対策無料相談窓口」

2019年1月25日、「国立研究開発法人情報通信研究機構法附則第8条第2項に規定する業務の実施に関する計画」という名称の計画について認可が下りました。この名前だけだと何のことやらわかりませんが、かなり重い意味を持つ計画です。

今回は、この計画認可が持つ意味を考察していきたいと思います。

参照国立研究開発法人情報通信研究機構法附則第8条第2項に規定する業務の実施に関する計画の認可/総務省

日本におけるIoTセキュリティの現況

昨今、IT分野のキーワードとして「AI」と並んで「IoT」が注目されています。企業・個人を問わず、あらゆる電子機器をインターネットに接続させ、利便性を高めようとしています。しかし、IoT機器の安全性への意識はとても低い現状があります。

例えば、出張でビジネスホテルに泊まったとします。そこでwi-fiを使おうとしたところ、

• 暗号化方式の解析ツールがそこら中に溢れてるWEPだったり…
• 安全だとされるWPA2だとしてもパスワードがホテル名をそのまま使っていたり…

ということは”あるある”ではないでしょうか。

また、”デフォルト設定のまま”使用しているインターネットカメラを網羅して覗けるサイトなどもあります。国内一般企業の画像も沢山アップされています。

非公開: 狙われるウェブカメラ、ハッキング方法や覗き見サイトの現状、有効な対策について

2018.8.16

インターネットを介したビデオ通話や、防犯カメラ、育児やペットの見守りカメラ、また、スマホにもほぼすべてカメラが搭載されるようになっているなど、ウェブカメラは私たちの生活に非常に身近なものとなっています。 これらは、非常に便利なツールで

このような状況では、乗っ取りの容易いIoT機器も多く、サイバーテロの温床になり得ます。東京オリンピックを始め、国際的なイベントが続いていく日本においては、非常に深刻な潜在的脅威となっているのです。

認可された調査計画の内容は？

さて、日本のIoTセキュリティ事情が危機的な状況であることは事実です。国も当然この状況の改善に対策を立てねばなりません。そこで国は”IoT機器の調査”を目的に、下記の計画を立てました。

1. 外から誰でもアクセスできるIoT機器がないか調べる
2. アクセスにID・パスワードを要求する場合、そのID・パスワードの組み合わせが過去の大規模攻撃で使われたものでないか調べる
3. 上記の調査で、問題があった機器の通信履歴を取得する。その記録を以って通信事業者に対処を要求する

1と2については良いです。問題は3の内容です。”これが許されるのか”ということです。

調査計画を現実世界に置き換えてみると…

この計画を現実世界に置き換えてイメージしてみると、下記のような内容です。

最近、地域に空巣が増えてきました。そこで、警察官が巡回します。
留守と思われるお宅があったら、訪問して鍵がかかっているかを確認します。
その鍵もペンチで簡単に切れるチェーンロックやつっかえ棒のようなものでないか確認します。
「危ないな」と思ったら、監視カメラを取り付けて出入りする人をチェックします。
そして、その記録ビデオを町内会長に見せて、注意を促してもらうようにしましょう。

さて、これは許されますかね？賛否両論はあると思いますが、少なくとも「このような計画を進めていくよ」という”周知”と”同意”、さらに「警察がやっているよ」ということの”証明”が必要になるのではないでしょうか。

調査を悪用した詐欺が増加する可能性

特に最後の”証明”は重要です。警察になりすましてカメラを取り付けたり、詐欺を働こうとする悪人が出てくることが考えられるからです。

今回認可された調査に便乗して、

• 調査であなたのIoT機器に脆弱性が見つかりました。つきましては、安全なパスワード：◯◯◯◯◯に至急変更してください。
• 調査であなたのIoT機器に脆弱性が見つかりました。こちらを熟読の上、効果的な対策を実施してください。サイト：http://www.◯◯◯◯◯.cm/

といった詐欺メールが届くであろうことは容易に想像できます。

調査実施は止めるべきなのか

ただ、「この計画はやらせるべきではないのか」となると難しいんですよね。過去のコラムでも触れているように、今の危機的状況は事実なので、早急な対応をするためには国が指揮をしなければならないでしょう。そして、国が通信事業者に協力を仰ぐうえで、”問題があるグローバルアドレスを証明する必要がある”というのもわかります。

2018年中小企業におけるサイバーセキュリティ対策の展望

2018.1.15

新年あけましておめでとうございます。2018年となりました。公共機関や大手企業のサイバーセキュリティ対策の準備が終り、いよいよ中小企業に対するサイバーセキュリティ対策要求がやってきます。 2018年最初のコラムは、サイバーセキュリティ

「制御システムのIoT化」がもたらすリスク、求められるセキュリティ対策は？

2018.11.12

10月は春秋恒例の「JapanITweek」に行ってまいりました。業界の情報収集のためには、このような展示会への参加は重要ですね。 今回、私が重点的にチェックしてきたのは、今後サイバーセキュリティ上の最大の懸念となる恐れがある「制御シ

なので、個人的には”実施すべきだと考えざるを得ない”という意見なのですが、運用については「通信の秘密」に抵触しないよう、慎重の上にも慎重を期す必要があります。何らかの監視体制が重要だと思いますが、そこは今回の発表では、まだ見えておりません。

この事態を引き起こした最大の要因は「IoT機器の販売者」

さて、予め「個人的見解」としておきますが、このような事態を引き起こした原因について述べさせていただきたいと思います。

様々な要因はあると思いますが、最大の責任は「IoT機器の販売者」にあると考えています。理由については、こちらも現実世界に置き換えてみればわかりやすいと思います。

自動車は移動に便利な乗り物です。
しかし、安全に運転できなければ、他者を巻き込み人命に繋がる大事故をおこす可能性があります。
そのため、販売業者も”買う人が安全運転できる人なのかどうか”、運転免許の確認をしますし、”変な場所に置いて犯罪に使われないよう”車庫証明を取らねばなりません。

翻ってIoT機器の販売ではどうでしょう？利便性を煽ってはいますが、買う人が”安全な設定が出来る人”かどうかの確認をしていますか？”どのような使い方をするのか”確認していますか？IoT機器は、乗っ取られたら世界中に迷惑をかける可能性があるものなのに。

最後に

売れるから。儲かるから。その為に、必要なリスク対策の説明と確認を疎かにしてきたツケが、現在の状況を引き起こしたように思われます。リスクを軽視したまま、IoT機器を販売してきた業者にも、一定の責任を負っていただきたいと感じるのは私だけでしょうか。

IoT機器無差別調査NOTICEの先に在る危険、通信の秘密が脅かされる未来とは

2019.2.4

今回は、IoT機器の無差別調査「NOTICE」の"先"について述べて行きたいと思います。 参考