0
会員になると、いいね!でマイページに保存できます。
総務省は1月25日、改正された国立研究開発法人情報通信機構法の附則第8条第2項にかかわる業務の認可を発表した。これは、国がインターネット上のIoT機器にポートスキャンとリストを用いたログイン試行を行い、接続できた機器について、通知を行い改善を促すというものだ。目的は国内のネットをより安全なものにするためだが、当然、通信の秘密や国・行政による違法行為を認めることへの疑問や反対意見もでている。
オリンピックを控え脆弱なIoT機器を減らす政策
情報通信研究機構(NICT)や情報処理推進機構(IPA)などは、国の予算で運営される法人のため、関連法による規定が存在する。
NICTの場合、高度化する国際的なサイバー攻撃への対処、特に増えるIoT機器のセキュリティやオリンピックの安全確保が急務とされ、昨年の5月、サイバーセキュリティ基本法改正に先んじて、国立研究開発法人情報通信機構法が改正された。
附則第8条(第1項)は、テレビの難視聴地域への衛星放送助成に関する業務を規定したもので、改正で追加された第2項以降第8項までは、脆弱性のある通信機器を調査して必要な通知と改善を促す業務についてを規定している。
総務省は、この業務について情報通信行政・郵政行政審議会の審議と答申を受け、1月25日に当該業務の認可を行った。今後は必要な省令整備とともに実際の業務に移る予定だ。
調査作業は5年間と期限付きだが、背景の1つにオリンピックがあるとすると、調査は2019年度早々にも始まるかもしれない。調査そのものは機械的に実施できるが、通知や改善のフォローアップまで考えると、時間的にはすでに調査が始まっていてもいいくらいだ。
特定アクセスとリスト型攻撃は同じプロセス
同法や総務省が「特定アクセス」と呼んでいる本調査業務については、「国による不正アクセスではないのか?」という疑問が専門家などから出ている。問題点を整理する前に、特定アクセスとはどんなものか見てみよう。
特定アクセスは、いわゆる「ポートスキャン調査」と「IDパスワードの認証調査」の2つに分けられる。これを国内に2億ほど割り当てられているグローバルIPアドレス(IPv4)に対して実施する。
認証調査は、過去の大規模サイバー攻撃や不正アクセスで利用されたID・パスワード、Webカメラやルーター機器などのデフォルトとして利用されているID・パスワード、「1111」など一般的に危険とされる安易なパスワード群などの組み合わせでログインできるかどうかを試行する。実際に侵入するわけではないが、ログイン試行の部分だけみれば、いわゆる「リスト型攻撃」と同じといってもよいだろう。
調査を行う送信元IPアドレスは公開されている。
153.231.215.11~14
153.231.216.179~182
153.231.216.187~190
153.231.216.219~222
153.231.226.163~166
153.231.226.171~174
153.231.227.195~198
153.231.227.211~214
153.231.227.219~222
153.231.227.226~230
(計41アドレス)
特定アクセスによって、ポート接続要求のセッションが確立できたアドレス、ログインできてしまった機器のIPアドレスについて、ログインできた機器のIPアドレス、ログイン試行の元となるIPアドレス、ログイン成功のタイムスタンプ(成功したアカウント、パスワードは保存されず、通知もされない)を、当該IPアドレスを管理している通信事業者に通知する。通知を受け取った事業者は各ユーザー等に「このままではサイバー攻撃の標的になる危険な状態である」旨を連絡し、設定変更や改善を促す。
調査そのものはNICTが行い、通信事業者への通知は第三者機関(認定送信型対電気通信設備サイバー攻撃対処協会)を設置し、そこが行う。実施計画の詳細は総務大臣の承認が必要で、収集した情報の厳重な扱い、漏えい対策、事後体勢も求められる。調査は5年間行われる予定だが、調査データの保管は1年とされている。
アクティブサイバーディフェンスの議論
前述のように、特定アクセスによる調査は一定の配慮のもとに行われる予定だ。また、脆弱なIoT機器が新たなボットネットやサイバー攻撃の温床となっているのも事実だ。オリンピックの前は、ポートスキャンのみならず、さまざまな攻撃が増えることも予想されている。PCやIoT機器への新たなセキュリティ対策や取り組みには、十分な合理性・必然性がある。
インターネットの世界では、フィッシングサイトやC&Cサーバのテイクダウン(停止措置)がしかるべきルールの元に行われている。国内ではWindows XPの時代に、行政がボット検知ソフトを無料配布し、感染PCの排除キャンペーンも行われ効果を挙げている。このように、100%受け身のセキュリティ対策から一歩踏み込んだ施策は以前から行われている。
防御側が積極的に被害者、攻撃者にアプローチすることを「アクティブサイバーディフェンス」という。アクティブサイバーディフェンスは、フィルタリングやトラフィック監視から、ハニーポットや囮(おとり)、ビーコンを使った攻撃調査、攻撃サーバテイクダウン、ハックバックによるサーバ復旧、敵対サーバへの破壊工作(DoS攻撃、侵入・データ破壊)まで、段階的に整理されている。
現在、フィルタリングやしかるべき手順によるサーバテイクダウンまでは、社会的合意がなされていると解釈できるが、それ以上の行為は非常にグレーな存在だ。予防や被害軽減、攻撃中止のためとはいえ、作業はサイバー攻撃に利用されるものと本質的に変わりはない。攻撃者への反撃であり報復行為につながり、実は事態の解決にはならないという指摘もある。
反撃の誤爆、副作用の問題もあり、実施ハードルは相当に高い。アクティブサイバーディフェンス行為の正当性が認められなければ、防御側が訴訟や犯罪のリスクを負うことになる。
【次ページ】今回の調査業務はグローバルでもグレー、便乗詐欺・便乗攻撃も「ほぼ確実に発生する」
関連タグ
