日本政府、セキュリティ強化という名目で国民のIoTデバイスを調査
2017年に日本国内で検出されたサイバー攻撃の半数以上がスマートデバイスを標的としていた
2017年に日本国内で検出されたサイバー攻撃の半数以上がスマートデバイスを標的としていた
日本の公共放送であるNHKの報告によると、日本政府はサイバー攻撃に対する対策を強化するために、国内の約2億台のIoTデバイスのセキュリティをテストする計画を了承しました。
国立研究開発法人情報通信研究機構(NICT)の担当者が、デフォルトのパスワードと一般的に使用されるパスワードのリストを使用して、ランダムに選択されたスマートデバイスへのログインを試行します。ホームネットワークとビジネスネットワークの両方のルーターとWebカメラが最初に調査対象になっています。この大規模な事実上の「侵入テスト」は2019年2月中旬に開始されました。
その後、同研究所はインターネットサービスプロバイダー(ISP)および地方自治体と協力して、セキュリティ対策が講じられていないデバイスの所有者に通知し、スマートデバイスのセキュリティを強化するように注意喚起しています。
IoTデバイスは、サイバー犯罪者にとって特に簡単に攻撃できる対象です。変更不可能で脆弱なデフォルトのパスワード、脆弱な組み込みファームウェア、そしてパッチを適用することが困難な仕組みと相まって、インターネットに接続しているあらゆるモノにとって、IoTデバイスは大きな問題のひとつになっています。
脆弱なIoTデバイスを悪用する脅威は、過去にも見つかっています。VPNFilterとして知られるマルウェアが50万台のルーターのセキュリティを侵害し、米国連邦捜査局(FBI)はルーターを再起動するように勧告しています。もちろん、2016年10月にIoTテクノロジーを利用したボットネットが引き起こした被害については記憶に新しいことでしょう。
大規模な「侵入テスト」を可能にしたこの法律は、2018年11月に承認され、5年間にわたって実行される予定です。東京では来年夏季にオリンピックが開催されます。重要な国際イベントではさまざまなサイバー攻撃が予測されます。同研究所は、2017年に日本で検出されたサイバー攻撃の54%がIoTデバイスを標的にしていると述べています。
一方で、この「調査」については、プライバシーの問題が懸念されています。この政府による「正当な目的を持つ調査」によって、意図せずに国民のプライバシーを侵害する恐れがあるからです。しかし、今回の問題は、日本政府に限らず誰かに「テスト」される前に、自分が使用するスマートデバイスのセキュリティを調査し、できる限り強化しておくべきという教訓になるのかもしれません。
データ漏えいのインシデントが頻繁に発生していることから、この調査で収集されるデータのセキュリティについても懸念されていますが、NICTの研究者である井上大介氏は、NHKに対し、同研究所がデータの漏えいを確実に防止することを伝えており、この懸念を払拭しようとしています。
2019年1月31日にWeLiveSecurityに掲載された記事を再掲載しています。