デジタルリスク総研は、デジタルリスクに関する研究を行い、その成果を社会に還元することによって、デジタルリスクを低減させることを目的とした研究機関です。MORE

【デジタルリスクに備えよ Vol.4】
野良IoT機器による危機への取り組み

2019年02月07日

2019年に入ってから総務省が所管する国立研究開発法人情報通信研究機構(NICT)が国内のIoT機器に対して無差別に侵入検査が行われるとして、インターネット上で話題になっています。そこで今回はIoT機器を取り巻く状況を踏まえて、侵入検査の背景や目的などについて取り上げます。

様々な問題を引き起こしている野良IoT機器

現在、世界中で様々なIoT機器がインターネットに接続され、稼働しており、その数も日々増加しています。その中には適切に管理されていないIoT機器もあり、これらを「野良IoT機器」と呼びます。今、野良IoT機器による問題が発生しつつあります。
IoT機器は安価で入手しやすいものが多いこともあり、大量に出回っています。しかし、安価に提供されるのには理由があり、動作に必要なソフトウェアであるファームウェアのアップデートに対応していなかったり、1年程度でサポートが提供されなくなったり、問題が発生すれば買い換えることを前提としている機器も少なくないといえる状況にあります。
サポートが提供されず、問題があると判明したIoT機器がインターネットから切り離され、適切に管理されていれば問題は発生しにくくなりますが、現実には設置したまま放置されている野良IoT機器と言えるような機器が数多くインターネットに接続されたままとなっています。

このような野良IoT機器はサイバー攻撃を受けて、不正に乗っ取られ、著名なサイトやサービスを一時的にでも停止に追いやるDDoS攻撃の攻撃元として悪用されたり、攻撃者が他のサイトへ攻撃する際の踏み台として利用されたりする事例が増えており、インターネットの安全を脅かす存在となっています。
特にオリンピックのような世界的な大規模イベントが行われる際には、近年サイバー攻撃も増える傾向にあります。
そのため、野良IoT機器を放置して攻撃元として悪用される状況は可能な限り未然に防ごうという意図の下に2018年5月23日に成立し、同年11月1日に施行された法律が「電気通信事業法及び国立研究開発法人情報通信研究機構法の一部を改正する法律」です。


事前に告知されていた事実

インターネット上で、知らない宛先から不審なアクセスがあったとして騒ぎの元にもなっていますが、騒ぎについて多くのメディアで取り上げられたのとは対照的に、法案成立や施行、事前調査に関する情報はあまりメディアで取り上げられていないだけで、NICTは下記の告知を出した上で、送信元IPアドレスを明示し、法律に則って調査を実施しています。
(日本国内でインターネットに接続されたIoT機器等に関する事前調査の実施について(12月10日更新)
https://www.nict.go.jp/info/topics/2018/11/07-2.html)

IDとパスワードを用いて侵入すると言っても、パスワード設定等に不備のあるIoT機器の調査を目的としていることから、適切に管理されていると言えない簡易な文字列や初期値のまま変更されていない文字列を用いているだけであり、世間を騒がせているような流出したパスワードを利用している訳ではありません。
また、この法律が5年間の時限措置であるため、現時点で永続的に調査が行われ続けることが確定した訳でもありません。

それでも、検査の対象となりたくなければ、情報を適切に入手し、アクセス制限などの措置を取ることで対策を行う余地も残されています。


事前調査が終了した今後はどうなるのか

2018年11月から続いた事前調査は1月中に予定通りに終了しており、NICTより1月9日に今後の計画が提出され、
同25日に総務省に認可されています。
(国立研究開発法人情報通信研究機構法附則第8条第2項に規定する業務の実施に関する計画の認可 http://www.soumu.go.jp/menu_news/s-news/01cyber01_02000001_00012.html)

この申請内容の中に今後の調査に利用する送信元IPアドレス(計41個)や各種安全管理措置について言及されているので、適切にIoT機器を管理し、NICTによる調査を不要とする組織などは提示されたIPアドレスをフィルタリングするなどの対処が可能となっています。
サイバー攻撃などの対応を行うCSIRTが組織されているところであれば、本当の攻撃を区別するためにも、何らかの対応を既に実施しているところが多いかと思いますが、未実施の場合は、早急に対応判断を行うことで余計な混乱の発生を抑制することを推奨します。

なお、調査の結果、問題のあるIoT機器が見つかった場合、インターネットサービスプロバイダへ情報が提供され、IoT機器の所有者へ注意喚起が行われることになっています。具体的な内容は2月1日に総務省が報道発表した下記資料やプロジェクト向けに作成されたサイトに詳しく掲載されています。
(IoT機器調査及び利用者への注意喚起の取組「NOTICE」
http://www.soumu.go.jp/menu_news/s-news/01cyber01_02000001_00011.html)
(NOTICE|サイバー攻撃に悪用されるおそれのあるIoT機器の調査、注意喚起を行うプロジェクト
https://notice.go.jp/)



関連サイトはこちら

・研修,ルール策定
従業員が業務内外でソーシャルメディアを扱う際のルール、ガイドラインの策定や研修等のリスク低減に向けた各種支援を行います。

・内部脅威検知サービス
ログデータから「ヒト」の行動を解析し、企業内部での「異常行動」や、 その「動機」「可能性」「兆候」を持つ人物を検知・可視化し、重大なインシデントの発生を未然に防ぐことのできるサービスです。 情報漏えいや不正行為などのセキュリティ対策から、従業員のメンタルヘルス改善や離職リスク軽減、ハラスメント防止といった労務管理でも活用できます。

・リスクモニタリング
特定事象に関する投稿を24時間365日モニタリング。
危険度の高い投稿の検知、緊急通知、その後の鎮静化に向けたコンサルティングまで実施します。

・検索エンジン評判対策
Web上の風評被害・誹謗中傷の解決はもちろん、イメージアップまで実現します。

03-6550-9281

お問い合わせ

  • 大阪06-6210-5017

関連コラム

デジタルリスク総研について

日本におけるSNSの利用率はここ数年増加の一途をたどり、2015年3月の調査では実に77%に至りました。企業もこれに比例してSNSをマーケティングに活用しようという動きが高まり、今日では既に一般的なこととなっています。ソーシャルメディアマーケティングは、話題の拡散、属性によるターゲティングや双方向のコミュニケーションといったマーケティングの多様性を生み出し、この成否が顧客エンゲージメントの獲得を左右するようになりました。

しかし、その一方で、ネット炎上件数もまた年々増加し、昨年は遂に1,000件を超え、企業としては、炎上させないSNSコミュニケーション術や、万が一炎上の火種が生じた際にどのように対応するかというリスク管理体制の整備が求められています。これは、ソーシャルメディアの活用を控えるという意味ではなく、ソーシャルメディアを有効に活用するための手段でもあります。

デジタルリスク総研は、2007年からソーシャルリスクマネジメントに着目し事業を行っている株式会社エルテスによって、ソーシャルリスク総研として、2016年2月に設立され、ソーシャルリスクを低減させることを目的とした研究機関として、ネット炎上等のソーシャルリスクに関する研究を行い、その成果を社会に還元してまいりました。そして、2016年11月にデジタルリスク総研と改称し、ソーシャルリスク分野に加えて、企業内部の不正や金融犯罪の検知をはじめとしたリスクインテリジェンス分野における研究を開始しました。このサイト上では、企業に役立つ実践的なデジタルリスクマネジメントについて、定期的に情報発信を行いますので、企業等のデジタルリスクマネジメントに是非ご活用ください。

※ 13歳以上の男女。(出典)総務省「社会課題解決のための新たなICTサービス・技術への人々の意識に関する調査研究」(平成27年)

運営者について

デジタルリスク総研は株式会社エルテス内にございます。
株式会社エルテスでは、次のような事業を行っております。お気軽にご相談ください。