トリコロールな猫/セキュリティ

セキュリティ情報の備忘録的まとめ。

2月20日から始まる、総務省とNICTによる大規模なIoT機器調査と注意喚起「NOTICE」について調べて書いてみました

2月20日から始まる、総務省と国立研究開発法人情報通信研究機構 (以下 NICT) による大規模なIoT機器調査と注意喚起「NOTICE」について調べて書いてみました。
本件、いろんなところで記事になっていますが、このエントリは公的機関とNICTが公開している情報のみ参照して書いています。

まずはどういった検査を行うのかと、それに関わる法律についてまとめてみます。

検査の概要は総務省の報道資料「IoT機器調査及び利用者への注意喚起の取組「NOTICE※」について」にあります。画像以外ほぼまるっとコピペ。

改正情報通信研究機構法に基づき、本年2月20日(水)より情報通信研究機構(NICT)がサイバー攻撃に悪用されるおそれのある機器を調査し、電気通信事業者を通じた利用者への注意喚起を行う取組「NOTICE」を開始。

1. NICTがインターネット上のIoT機器に、容易に推測されるパスワードを入力することなどにより、サイバー攻撃に悪用されるおそれのある機器を特定。
2. 当該機器の情報を電気通信事業者に通知。
3. 電気通信事業者が当該機器の利用者を特定し、注意喚起を実施。
※利用者からの問合せ対応等を行うサポートセンターを設置。

検査の流れをざっと知るには総務省による報道資料「電気通信事業法及び国立研究開発法人情報通信研究機構法の一部を改正する法律(平成30年法律第24号)の施行に伴う省令の制定について(NICT法の一部改正に伴う識別符号の基準及び実施計画に関する規定整備関係)」が良いです。この日の総会の議事録「情報通信行政·郵政行政審議会総会(第10回)議事録」の2ページから5ページと一緒に読みましょう。

もう少し詳しい実施計画が「国立研究開発法人情報通信研究機構法(平成11年法律第162号)附則第8条第2項に規定する業務の実施に関する計画の認可申請の概要」として公開されています。

専用の公式サイトもあります。

notice.go.jp

以上の情報から、以下のような検査を行うと思われます。

1.ポートスキャン(バナー等取得、認証の有無確認)
2.1.で認証が可能なものに、ID、パスワードの組み合せ約100通りを入力。
3.認証が通った機器について、通信の送信元IPアドレス、送信先IPアドレス、タイムスタンプ等を記録
4.1.により認証なしでログイン可能な機器や、脆弱なソフトウェアを使用している機器を記録
5.3.および4.の機器についてプロバイダに連絡
6.プロバイダから該当機器のユーザに注意喚起

対象は

日本国内の約2億のグローバルIPアドレス(IPv4)*1

だそうです。2億··。

2.について、不正アクセスではないかと騒がれていましたが、そうではありません。ちょっとややこしいですが法律の該当箇所を順番に見てみます。

まず「国立研究開発法人情報通信研究機構法」附則第八条第二項第一号。

機構は、第十四条及び前項に規定する業務のほか、平成三十六年三月三十一日までの間、次に掲げる業務を行う。

  • 特定アクセス行為を行い、通信履歴等の電磁的記録を作成すること。*2

で、この業務を行う間、不正アクセス行為の禁止等に関する法律(不正アクセス禁止法)第二条第四項第一号が変更されます。

7 第二項から第四項までの規定により機構の業務が行われる場合には、次の表の上欄に掲げる規定中同表の中欄に掲げる字句は、それぞれ同表の下欄に掲げる字句とする。*3

この「次の表」がちょっと引用しにくい形になっているので、不正アクセス禁止法の該当部分の原文と変更したものを並べてみます。変更部分は太字にしました。

原文は以下。

4 この法律において「不正アクセス行為」とは、次の各号のいずれかに該当する行為をいう。
一 アクセス制御機能を有する特定電子計算機に電気通信回線を通じて当該アクセス制御機能に係る他人の識別符号を入力して当該特定電子計算機を作動させ、当該アクセス制御機能により制限されている特定利用をし得る状態にさせる行為(当該アクセス制御機能を付加したアクセス管理者がするもの及び当該アクセス管理者又は当該識別符号に係る利用権者の承諾を得てするものを除く。)*4

それがこうなる。

4 この法律において「不正アクセス行為」とは、次の各号のいずれかに該当する行為をいう。
一 アクセス制御機能を有する特定電子計算機に電気通信回線を通じて当該アクセス制御機能に係る他人の識別符号を入力して当該特定電子計算機を作動させ、当該アクセス制御機能により制限されている特定利用をし得る状態にさせる行為(当該アクセス制御機能を付加したアクセス管理者がするもの、当該アクセス管理者又は当該識別符号に係る利用権者の承諾を得てするもの及び国立研究開発法人情報通信研究機構法(平成十一年法律第百六十二号)附則第九条の認可を受けた同条の計画に基づき同法附則第八条第二項第一号に掲げる業務に従事する者がする同条第四項第一号に規定する特定アクセス行為を除く。

つまり、NICTは認可を受けた計画に基づいているのであれば、利用者の承諾を得ずに特定アクセス行為をしてオッケーということですね。

「特定アクセス行為」の定義は以下。

機構の端末設備又は自営電気通信設備を送信元とし、アクセス制御機能を有する特定電子計算機である電気通信設備又は当該電気通信設備に電気通信回線を介して接続された他の電気通信設備を送信先とする電気通信の送信を行う行為であって、当該アクセス制御機能を有する特定電子計算機である電気通信設備に電気通信回線を通じて当該アクセス制御機能に係る他人の識別符号(当該識別符号について電気通信事業法第五十二条第一項又は第七十条第一項第一号の規定により認可を受けた技術的条件において定めている基準を勘案して不正アクセス行為から防御するため必要な基準として総務省令で定める基準を満たさないものに限る。)を入力して当該電気通信設備を作動させ、当該アクセス制御機能により制限されている当該電気通信設備又は当該電気通信設備に電気通信回線を介して接続された他の電気通信設備の特定利用をし得る状態にさせる行為をいう。*5

ああ法律って難しい・・IDとパスワード(他人の識別符号)で認証できるかやってみます、使うIDとパスワードは「不正アクセス行為から防御するため必要な基準として総務省令で定める基準を満たさないものに限る。」と。で、その総務省令は案しか見つけられませんでしたが、基準は以下の通りです。

1. 8⽂字以上であること。
2. これまで送信型対電気通信設備サイバー攻撃のために⽤いられたもの、同⼀の⽂字のみ⼜は連続した⽂字のみを⽤いたものその他の容易に推測されるもの以外のものであること。*6

この基準を満たさないものとして、以下のような例が挙げられています。

password 、admin1234 、supervisor、smcadmin aaaaaaaa、11111111、abcdefgh、12345678*7

また、4.についてはポートスキャンで返ってきたバナー等で判断するようです。

パスワード設定以外の脆弱性を有する機器(アクセス制御機能を有しない、ソフトウェアの脆弱性を有する等)に関する情報ついても、 ①(1)のポートスキャンで判別可能な場合には、送信先IPアドレスに係る電気通信事業者に対して、当該情報の提供を行う。*8

以下、この件で個人的に感じたことや懸念事項など。

いやー、政府(とNICT)もプロバイダもよくやる気になったねー!!すごいねーー!!!

というのが最初に抱いた率直な感想です。

だってすごい数ですよ?2億って。ツールで自動的にやるとはいえトラブル必至、プロバイダだってそりゃ親玉がやれっていえばやらざるを得ないだろうし、自分とこに接続してる機器がDDoS攻撃に加担させられたらたまったもんじゃないでしょうが、脆弱な機器のユーザに注意喚起したら、専用のサポセンはありますが絶対大量の問い合わせがくるだろうし··って、想像したくもないです。しかも間違いなく槍玉に挙げられますからね。いやもうロシアW杯のポーランド戦の西野監督のように、必要だからやる、非難は甘んじて受ける、という覚悟を感じますね(西野監督は非難とか感じないアレな人にも見えますが)。ただもうそれだけやばいってことなんですよね。ていうかIoT機器はパスワードを初期設定のままでは使用できないようにしてほしいですね。あと本来の機能に対してよけいなことができすぎるんですよ。たぶんLinuxが普通に動いてるものが多いんでしょうが、もうちょっと機能を落としてほしい。これを機に、検査を非難するのではなく、検査せざるを得ないシステムの方に目を向けてほしいです。

さて、親戚からの問い合わせに対応するだろう身として、懸念事項が2つあります。

1. これを利用した詐欺がはやりそう
2. 持っている機器が検査対象か調べるすべがないので、連絡がない=安全といえない

1.については去年8月の総会でも話題になったようです。日本総研の大谷委員から。

例えば、NICTを装ったメールなどでパスワードの変更を要請してくるメールなどの、新たな被害を防止するための対策などもあわせて講じていただくことが必要だと思っておりまして、必ず、こういった新しい対策を講じると、それを悪用するような動きも出てくることなどが通例だと思いますので、そのあたりを、実施計画を取りまとめる助言などを行う際に、よく想定しておいていただければと思っております。 *9

これに対する赤阪サイバーセキュリティ統括官付参事官の回答。

今回の取り組みにつきましては、NICTからも、あるいは総務省としても、十分に周知を行った上で、きちんとユーザー側のご理解をいただきながら進めたいと思っておりますし、また、今回ご指摘のありましたような、こういった取り組みを悪用するようなものも出てきかねないところがありますので、電気通信事業者から行う注意喚起についても、きちんと紛れがないように、どういった形で実効あるものとしてできるかということを、引き続き中身を詰めながら進めさせていただきたいと思っております。 *10

まあ、周知徹底以外やりようはないですよね。これに伴う詐欺被害よりも、踏み台にされたりするリスクの方が大きいということなのでしょう。

で、2.の方は、自分の機器が調査対象かどうかを知るすべは、少なくとも今回調べた限りでは見つかりませんでした。一応、いくつかのプロバイダが参加表明しているのは見つけました。

www.iij.ad.jp
www.ntt.com
news.kddi.com

ということで、連絡ない?じゃあ大丈夫!っていえないなと。大手プロバイダが参加しているので、脆弱な機器は大幅に減ることが期待できますが、"うちの"がどうなのかは知りたいところです。もちろんログを見れば分かりますが、ほとんどの人にとってログを見るなんて敷居が高すぎて現実的じゃない。結論としては、連絡が来ようが来まいが一度機器の設定を見直してねってことですかね。NOTICEにもそういう狙いがあるのでしょうね。

結果は取りまとめて公開されるようです。

我が国のサイバーセキュリティ確保の観点にも留意しつつ、本取組の実施状況を取りまとめ、公表することを予定しています。*11

こんな大規模調査は少なくとも国内では前例がないと思います*12ので楽しみです。公開されたらまた何か書こうと思います。

*1:国立研究開発法人情報通信研究機構法(平成11年法律第162号)附則第8条第2項に規定する業務の実施に関する計画の認可申請の概要」P.2「① 特定アクセス行為等による調査」より

*2:国立研究開発法人情報通信研究機構法」附則第八条第二項第一号より

*3:国立研究開発法人情報通信研究機構法」附則第八条第七項より

*4:不正アクセス行為の禁止等に関する法律第二条第四項第一号

*5:国立研究開発法人情報通信研究機構法」附則第八条第四項第一号より

*6:電気通信事業法及び国立研究開発法人情報通信研究機構法の一部を改正する法律(平成30年法律第24号)の施行に伴う省令の制定について(NICT法の一部改正に伴う識別符号の基準及び実施計画に関する規定整備関係)」P.2「省令案の概要」より

*7:電気通信事業法及び国立研究開発法人情報通信研究機構法の一部を改正する法律(平成30年法律第24号)の施行に伴う省令の制定について(NICT法の一部改正に伴う識別符号の基準及び実施計画に関する規定整備関係)」P.2「【該当するパスワードの例】」より

*8:国立研究開発法人情報通信研究機構法(平成11年法律第162号)附則第8条第2項に規定する業務の実施に関する計画の認可申請の概要」P.3 「④ その他業務」より

*9:情報通信行政·郵政行政審議会総会(第10回)議事録P.5より

*10:情報通信行政·郵政行政審議会総会(第10回)議事録P.5より

*11:NOTICE公式サイトFAQ「問11 本取組で得られた結果は公表するのか」より

*12:海外でこういう検査をした事例ってあるんですかね?