「総務省 IoT機器に無差別侵入し調査へ 前例ない調査に懸念も」の記事を受けてIT業界にまたも激震が広がってる。「通信のブロック」 「coinhive検挙」 「ダウンロード違法化」と立て続けで、流石に辟易してくる。
あわてて条文など内容を確認したが、下記のようなことらしい。
法改正によってNICTを不正アクセス防止法の規制対象外にした。
NICTは第三者のID/PASSWORDを使って機器にログインする事、機器にログインした後その機器を操作すること、その機器を踏み台にしてさらに別の機器へのログインを試みることが出来るようにした。
電気通信事業者にはNICTから通達のあったIPアドレスを使用しているユーザーに対して警告する義務が追加された。
この法改正により、NICTは日本国内に設置されているインターネット上から接続出来る脆弱なパスワードが設定されている機器を調査する業務を行い、脆弱な機器を使っているユーザーには通信事業者を通じて連絡が来ると言うことのようだ。
法文を読むに、ブルートフォースなどにより機器にログインした後、その端末を操作して踏み台にし、LAN内の機器にまでログインして操作ことを許可しているように読み取れる。単にパスワードの調査だけではなく、より踏み込んだ調査が行われる可能性もあるようだ。
すでに調査はスタートしていて、11/14までにポートスキャンによる事前調査を終えている。スキャン対象となっているのはポート22(SSH)、ポート23(TELNET)、ポート80(HTTP)で接続時に表示されるバナー情報から機器情報を得ている。
この事前調査に使用したとされるIPアドレスはWhoISを見る限りNICT管理下のものなので、きちんとNICT管理下で行われているようだ。どこぞの業者に委託してて委託先業者から漏洩・・・と行ったことはひとまず心配しなくても大丈夫だろう。
ただ今回計画されている調査の有効性には疑問を感じる。
日本国内のインターネット接続環境は、BBルーターを介した接続になっていることが多く、ルーターの設定を意図的に変更してポートフォワードの設定をしない限り、設置した機器がインターネットから直接アクセス可能になる事は殆ど無い。かといってインターネットから直接アクセス出来ないなら、標準のパスワードのままでも安心出来るのかというと、危険である事は変わらない。
例えば僕ならLAN内のIoT機器にログインを試みるアプリケーションをメールに添付して送り込むといったことを普通に思いつく。この手のアプリケーションはウィルス対策ソフトに検出される事もまずない。多層防御がきっちりなされていない場合、 狙い通りにLAN内のIoT機器に侵入して設定を変更してしまうだろう。
今回計画されている調査は、インターネットから直接接続は出来ないが、LAN内に存在する脆弱なパスワードが設定されたIoT機器に対しては有効ではない。インターネットからは接続出来ないが脆弱なパスワードが設定されたIoT機器は、今回の調査対象よりも桁違いに多いはずだ。
ここまで強硬な手段を執る前に、公共性の高い事業者や規模の大きい事業者に対して、脆弱性診断を受けることを義務づけるとか、より有効な方法があっただろう。
なぜこんな方法にいきついたのか、大きな疑問を感じる。
なにはともあれ、アクティブサイバーディフェンスを法制化して国主導で行うというのは、他の先進国でも類例が無いのではなかろうか?国が個人の端末に勝手にログインする事の善し悪しを議論したり、国民のコンセンサスを得る前に、 良くも悪くも 世界最先端をいくセキュリティ体制が走りはじめてしまった事になる。
参考URL:
IT Research Art:NICT法改正と不正アクセス禁止法
NICT:日本国内でインターネットに接続されたIoT機器等に関する事前調査の実施について
総務省:国会提出法案