サイバー犯罪の写真

総務省 2億台のIoT機器を対象にセキュリティ調査

2019年2月21日の日経新聞によると、総務省は国内のIoT機器、2億台を対象にパスワード設定などの点検を行い、不備が見つかれば所有者へ設定変更を促すとのこと。海外ではIoT機器を踏み台にしたサイバー攻撃で大規模な通信障害が起きたケースもあるため、必要な措置と考えられるが、今回の調査は合法的なハッキングでもあるのだ。どのようなことか解説していく。

2月1日のニュース解説「総務省 IoT機器の防御を義務化」も併せて読んでもらえたら、より理解が深まるだろう。

あなたのIoT機器が狙われる

今回、総務省が対象にあげたIoT機器はウェブカメラ、ルーター、DVDレコーダーなどで、最近では身近な家電製品と言っていいだろう。これらの機器は、パソコンやスマートフォンと違い、ソフトウェアのアップデートを日常的に行わないため、セキュリティ対策が手薄となり易い。

2月1日のニュース解説でも触れたが、こういった機器のマニュアルは所有者でなくてもメーカーのサイトからダウンロードすることが可能だ。初期設定のIDやパスワードは誰でも簡単に調べることができる。つまり、初期設定のままのIoT機器は、世界中のブラックハッカーにとっておいしいカモなのだ。

また、初期設定のでなくても推測し易いIDやパスワードもNGだ。「1234」のように規則性のある数字や「apple」など一般的な名詞もすぐに解読されてしまうだろう。

サイバー犯罪の片棒を担がされることに

そういったセキュリティのあまいIoT機器はセキュリティ犯罪の踏み台とされてしまう。この場合の「踏み台」とはブラックハッカーの経由地を指す。あなたがハッカーだとしたら、身元を隠したいと考えることだろう。ブラックハッカーも同じだ。彼らは踏み台を経由することで身元、つまり自分のIPアドレス(インターネット上の住所)を偽装するのだ。

彼らはセキュリティのあまい機器を乗っ取り、踏み台としてその機器を経由したり、その機器自体にサイバー攻撃へ参加させようと試みる。

怖いことに踏み台にされている間は、自分のIoT機器がサイバー犯罪に利用されていたとしても、そのことに気が付かないのだ。知らないうちにサイバーテロの片棒を担がされていたなんてこともありうる。ある日突然、「あなたの家から、サイバー攻撃を行った形跡が見つかった」と言われ、家宅捜査をされるかもしれないのだ。

合法的なハッキングが認められた

今回の記事では、調査は国立研究開発法人の情報通信研究機構が5年間の時限措置として行うとしながら、「合法的な特例」という言葉を用いていた。この合法的な特例とはどういうことなのか。

情報通信研究機構は国内の家庭や企業に置かれたIoT機器2億台に対して、推測したパスワードで乗っ取りを試みる。そして、もしそのようなあまいパスワードを使っているユーザーが見つかれば、プロバイダーを通して設定の変更を促すという。

しかし、これは不正アクセス禁止法(正確には「不正アクセス行為の禁止等に関する法律」という)に触れる犯罪行為なのだ。政府は5年間という期限を決めて、合法的にハッキングをさせようとしている。もちろん、総務省は「ハッキング」などという怖い言い方は避けているが、これが、「合法的な特例」の事実だ。

犯罪データに囲まれて生活している事実

サイバー攻撃は日々拡大し、2018年は2,121億パケットものデータがサイバー攻撃に送られたという。これは2017年の1.4倍になる。ちなみに、パケットとは小分けにされたデータ量をいう。パケットよりもバイトで言った方が分かり易いだろう。計算してみると、(1パケット=128バイトを指すデータの単位)2,121億パケットは、25.2ギガバイトとなる。

我々を取り巻くインターネット回線の中を、これほどの犯罪データが飛び交っているのだ。IoT機器は便利だからと言って油断していると、たった数パケットで乗っ取られてしまう可能性もある。セキュリティに関心を持ち、自分の身は自分で守るといった意識が必要だろう。

脅かすつもりはない。個々のユーザーが適切な設定をし、サイバー犯罪から身を守る意識を高めることができれば、合法的なハッキングなど不要になるだろう。