効果に疑問・・・
ITmediaの記事に、 総務省、IoT機器“侵入”調査を強化 ログインに使うID・パスワードの組み合わせを拡大 てのがありました。
総務省は9月11日、不正アクセスされる恐れのあるIoT機器を洗い出し、ユーザーに注意喚起を行う取り組み「NOTICE」(National Operation Towards IoT Clean Environment)を強化すると発表したそうです。記事によると・・・
NOTICEは2019年2月に開始。過去のサイバー攻撃に使われたIDとパスワード(「123456」「aaaaaa」など)を入力し、IoT機器にログインできた場合は、インターネットサービスプロバイダー(ISP)を通じてユーザーに注意喚起を行う。調査は国立研究開発法人情報通信研究機構(NICT)が行っている。
これまでIDとパスワードの組み合わせは100通りだったが、10月から600通りに拡大。これに伴い通信回線を増設し、調査に使用するIPアドレスを41件から54件に増やした。
だそうです。この「NOTICE」という取り組みについては、本ブログでも去年取り上げていました。
実際に何をしているのか、ちょっと分かりにくい方もいらっしゃるかと思いますが、誤解を恐れずにブッチャケて言えば、国による不正アクセスです。ご自宅にあるルーターやウェブカメラなどに国がハッキングを仕掛けて使われがちなIDやパスワードを試して実際にハッキングできるかどうかを試します。
で、実際にハッキング可能だった場合には、後日ご利用のプロバイダから直接注意喚起が行われるそうです。
この取組をIDとパスワードの組み合わせを増やしたり、通信回線を増設したりして調査を更に強化するということなんですね。
記事にもある今までの取り組みの結果を見ると、調査対象の約1.1億件のIPアドレスに対して2020年以降は毎月約300件の注意喚起を行っているとのことです。300/110,000,000ですから、その割合は0.00027272%です。限りなく少ないということだけはわかりますよね。
少ないからやらなくていいとは言いませんが、この取組のためにNICT法をわざわざ法改正して不正アクセスの違法性を阻却してまで行った取り組みの結果としてどうなんでしょう。これだけ少ないのであれば、わざわざ膨大な国費を使ってやる必要性を感じないのではというのが個人的な見解です。
もちろん、ルーターやIoT機器のIDやパスワード管理は重要です。 Insecam という世界中の無防備なウェブカメラを一覧できるサイトがあるのですが、そういったIoT機器がいかに多いかを実感できるサイトでもあります。
ですので、そういった取り組みは重要だとは思うのですが、方法論としてはもっと違う方法があるのではないかと思います。総務省様ももっと他の方法で「NOTICE」してくれることを願っています。