「国立研究開発法人情報通信研究機構法の一部改正について」(総務省 サイバーセキュリティ統括官室)より
NHKの報道によれば、総務省はサイバー攻撃対策の一環として、IoT機器に無差別に侵入して対策が不十分なIot機器を洗い出す調査を行うという。
なぜ国は、特例的に不正アクセス禁止法で禁じられた行為を行うという、世界的にみても例がなく、利用者から反発を招きそうな調査方法を選択したのだろうか。
伊藤僑
Free-lance Writer / Editor
IT、ビジネス、ライフスタイル、ガジェット関連を中心に執筆。現代用語辞典imidasでは2000年版より情報セキュリティを担当する。SE/30からのMacユーザー。
東京オリンピックに向けてサイバー攻撃対策を強化
1月25日に国の審議会を経て認められた実施計画によると、調査対象は、一般の家庭や企業で利用されているルーターやウェブカメラなどのIoT機器およそ2億台とされ、調査は2月中旬より開始される見込みだ。
それらIoT機器に無差別に侵入を試みることにより、IDやパスワードが初期設定のままになっているなど、セキュリティ対策が不十分な機器を洗い出し、ユーザーに注意を促すことが狙いとされる。
同調査が実施される背景としては、情報通信機構が2017年に観測したサイバー攻撃のおよそ54%がIoT機器をターゲットとしており、東京オリンピックに向けて対策を強化する必要があったとしている。
セキュリティ対策が不十分なIoT機器が急増
確かにIoT機器の普及はここに来て爆発的な勢いで拡がっており、インターネット利用時の危険性をまったく理解していないような人たちまでもが手軽に利用するようになってきたことから、不正侵入やボットネットへの悪用などが懸念されると警鐘を鳴らすセキュリティ関係者も多い。
使用解説書をきちんと読むこともなく、まるで炊飯器や冷蔵庫のようにコンセントに繋ぐだけでIoT機器を利用できると誤解している人たちが少なくないのだから、IDやパスワードは初期設定のままになってしまいがちだ。そのまま放置すれば、たちまち攻撃者の餌食になってしまうだろう。
また、ユーザーがパスワードを新たに設定したとしても、複雑なパスワードは覚えるのが面倒だからと、「12345678」や「abcdefgh」、「aaaaaaaa」など、推測が容易な文字列を使っている場合も危険性が高い。
なぜ特例的に不正アクセス行為が許されるのか
オリンピック開催国はサイバー攻撃のターゲットになり易いため、国が危機感をつのらせ、対策を急ぐことは理解できる。
だが、たとえ実行主体が国であったとしても、同調査のような行為は不正アクセスに他ならず、本来は許されるものではない。
そこで国は2018年5月、実際に調査を行う情報通信研究機構(総務省所管)の業務を定める法律を改正。2019年1月に国の審議会を経て、5年間に限って同調査を行える認可を得た。
情報通信研究機構法の一部改正に際して、総務省サイバーセキュリティ統括官室が公開した資料は以下の通り。
調査にあたり情報通信機構は、調査に使用する発信元のIPアドレスを事前に公表。脆弱性のある機器が見つかった場合には、ログインは行うが、目的以外のデータを得たり、調査で得たデータが外部に漏洩することがないよう厳格なルールを設けているとしている。
憲法の“通信の秘密”に抵触してしまう恐れも
これらの資料を参照すると、プライバシー保護などに必要なルールは一通り策定されているように思われる。
とはいえ、IoT機器の中にはカメラやマイクの機能を持つものも多く、家庭内や企業内に設置されている場合には、ログインによってプライバシー情報や機密情報が丸見えになってしまう恐れもある。
調査担当者本人が意図しなくても通信内容が垣間見えてしまう可能性もないわけではないので、日本国憲法第21条「通信の秘密は、これを侵してはならない」に抵触してしまうことも懸念される。
公務員の不祥事が相次いでいる中で、セキュリティ専門家の間でも賛否の分かれる調査が実施されることに、不安を感じてしまうのは筆者だけではないだろう。
また、調査結果によってユーザーに注意を促すといっても、今回の調査方法では、調査対象となった機器の利用者を特定し、各人に注意を促すことはできないことになる。
調査結果を新聞やニュース番組などで公表したとしても、改善が必要となるIoT機器の利用者に届くかどうかにも疑問が残る。もともと技術面・安全面に関心が薄いユーザーだからこそ、十分なセキュリティ対策を怠っているのではないだろうか。
便乗した不正アクセス行為にも警戒を
今回の調査をリアルな社会に置き換えるとすると、簡単に解錠されてしまう鍵を使う家が増え、泥棒に入られる危険性が高まったから、無作為に家を選び、各家の安全性を確認するためにピッキングして解錠できるか確かめることにした、というような内容だろう。
趣旨は理解できても、あまり気持ちのいいものではない。
今回の調査が先例となり、国による特例的な不正アクセス行為のハードルが下がってしまうことも懸念される。
また、同調査に向けた法改正の採択において、共産党以外はすべて賛成していることにも違和感を感じた。各党は、法改正の内容をきちんと精査した上で賛成したのか、気になるところだ。
調査期間中に、便乗した不正アクセス行為が増加しないといいのだが。