【2/20開始】総務省、脆弱なIoT機器のセキュリティ対策を促す「NOTICE」を開始【公的機関による大規模ポートスキャン】

　総務省と情報通信研究機構（NICT）は2月1日、脆弱なIoT機器の調査とユーザーにセキュリティ対策を促すプロジェクト「NOTICE（National Operation Towards IoT Clean Environment）」を2月20日に開始すると発表した。NICTがネットワーク経由で調査するが、総務省は「セキュリティが目的であり、通信の秘密は侵害せず、調査などで得られた情報は厳格な安全管理措置を講じる」と主張している。

今回のプロジェクトでは、NICTがまず、インターネット経由で国内にある約2億のIPv4のグローバルアドレスに対してポートスキャンを行う。さらに接続可能かつ認証要求のあった機器に対しては、「特定アクセス行為」としてIDとパスワードによる認証を試行する。ここで使うIDとパスワードは、過去の大規模なサイバー攻撃で用いられた約100万通りの組み合わせになるという。

「特定アクセス行為」に基づく認証が成功した機器については、NICTが機器への通信の送信元IPアドレス、送信先IPアドレス、タイムスタンプなど通信日時の情報を記録し、インターネットサービスプロバイダーなどの電気通信事業者へ通知する。なお、パスワード設定以外に、機器がアクセス制御機能を持たなかったり、ソフトウェアに脆弱性が存在したりすれば、これらの情報も通知する場合があるという。電気通信事業者は、この記録に基づいて対象機器のユーザーに注意喚起し、堅牢な認証情報の設定や脆弱性の解消といったセキュリティ対策の実施を促す。

https://japan.zdnet.com/storage/2019/02/01/d7aadba494a69ecb70fd1f34a18e1ab8/notice01.jpg
「NOTICE」の実施イメージ

IoT機器のセキュリティ脅威は、2016年に「Mirai」と呼ばれるマルウェアのソースコードが公開される事態などが発生したことで具現化してしまい、IoT機器への感染を狙う膨大な種類と数のマルウェアが発生している。こうしたマルウェアにIoT機器が感染すると、他の機器への感染やウェブサイトなどに対するDDoS（分散型サービス妨害）攻撃、不正な仮想通貨の発掘などに加担させられてしまう恐れがある。マルウェアは、管理機能へのアクセス認証がメーカー出荷時などの初期設定のままだったり、ソフトウェアの脆弱性を突いたりするなどしてIoT機器に感染するケースが多い。

IoT機器に感染するマルウェアによるサイバー攻撃は、既に世界各地で発生し、大手企業のサービスが妨害されたり、組織のシステムがダウンしたりするなどの深刻な被害が相次ぐ。総務省は、2020年の東京オリンピック／パラリンピックなどを控えてこうした脅威が高まる可能性があるとし、2017年9月から横浜国立大学やICT-ISAC（放送・情報通信分野の事業者によるセキュリティ連携機関）らとIoT機器の実態調査を進めてきた。
脆弱なIoT機器のユーザーに注意喚起–総務省が乗り出す – ZDNet Japan
https://japan.zdnet.com/article/35106834/

本来こうした侵入調査は不正アクセス禁止法に抵触するため、総務省は「NOTICE」実施に先駆けて、実施機関となるNICTの業務に関する法令を2018年11月に改正、「特定アクセス行為」を5年間に限り認めるようにした。これを受けてNICTは、2019年1月9日に実施計画を総務省に申請し、同省が認可した。同時に、侵入調査への不安を抱える利用者などの問い合わせへ対応する「NOTICEサポートセンター」を開設。公共交通機関や家電量販店などでの実施も告知する。

「NOTICE」をめぐっては、政府が通信のプライバシーを侵害しかねないという懸念や、過去に類を見ない規模で実施されるIoT機器のセキュリティ施策となることから海外メディアでも報じられ、その成果が世界的に注目されている。

関連スレ
【IT】総務省 ＩｏＴ機器に無差別侵入し調査へ 前例ない調査に懸念も
https://egg.5ch.net/test/read.cgi/bizplus/1548429702/

2019年02月01日 13時29分
ZDNet Japan
https://japan.zdnet.com/article/35132132/

総務省のポートスキャンとそうでない奴のポートスキャンとどう見分けるの

こんなことやらなくちゃいけないってことは
今後数年集中的に悪用される恐れがあるってことかな

ポートスキャンやってもその結果を使ってどう対策を促すんだろ

結果はどうやってお知らせしてくるの？
どうやって個人に通知するんだ。

これって海外ではやってるのかな？
国が国民のＰＣやスマホなどにハッキングして来て、パスワード推測して侵入してくるなんてかなりの横暴だけど。
これやる前に、この攻撃にたいして事前にこういう対策していると侵入されて丸見えにならないよっていう対策まで通知しないと、侵入目的といわれても仕方ない。
あと、これをやることで詐欺が流行る可能性がある。
画面上とか手紙で、
「こちらは総務省です。国民の皆様には事前にお知らせしてありますとおり、
こちらの攻撃によって、あなたのスマートホンのセキュリティを突破いたしました。
つきましては対策費用として３万円を総務省までお支払いいただき、作業員がセキュリティの強い設定をいたします。
振込先は～」
みたいな詐欺が出るかもしれない。

流れとしては

グローバルIPアドレスに対してスキャンをかける（扉にノックして点検）
↓
反応がなければ終了、あれば次の段階へ（外側に鍵が付いてて開けられる状態かどうか）
↓
辞書アタックで開かないかチェック（針金突っ込んだだけで開かないかチェック）
↓
セキュリティガバガバのIPに警告を行う（戸締まりの確認を促す）

こんな感じかと。イメージとしては警ら中の警官が巡回して防犯状態を見回る行為に近いですが、ポートスキャンをかける行為をたとえ国家であってもやっていいのかというのが問題のキモ。

これをやることによりお前らにどんな損害があるんだよ
各家庭のセキュリティ意識が向上することはあっても低下することはないと思うんだが？
抜け穴が少なくなると困る人が反対してるの？
実際に実行しなくてもこのように報道されるだけでも効果がでかいとおもうぞ。

大学の研究室はちゃんと管理されてない
グローバルIPv4アドレスを晒している端末が多そう

そういうところから国、企業との共同研究データが漏れてそう

自分で設定できる人は注意喚起されなくても対策してる人が多いだろうし、
設定出来ない人は喚起されても対策しないような

どのポートにスキャンかける気だろう？

まさか1～65535の全ポートが対象？
それとも23、80みたいな代表的なやつだけ？

ポートスキャン対策で対象IPのアクセスをしばらく遮断する設定してんだけど、、、
単一アドレスじゃ意味ないから、逆引きしてグループ全体でやってるんだよ、やめてくれ

IT後進国だからたまにはこういことやるのもいいんでない