電気通信事業者へ通知する、セキュリティの脆弱なIoT機器の情報は、ハッカーにとっても宝の山。
素人大臣が率いる総務省の愚策は、皮肉なことに、サイバーセキュリティ強化とは真逆の成果?を生むことに!?
尤も、政府自身がハッカーとして?無防備なIoT機器のデータベースを欲しているなら、
狙い通り?とも言えるが・・
関連記事
政府公認「名簿屋」創設を検討=マイナンバーとリンクして個人情報を活用(悪用)?
総務省 IoT機器に無差別侵入し調査へ=2020東京五輪を言い訳に5年間??
スマホ、SNSはどれも危険!? iPhoneにバグ、応答前の音声も映像もダダ漏れ。
ZDNet Japan より
総務省、脆弱なIoT機器のセキュリティ対策を促す「NOTICE」を開始
【総務省と情報通信研究機構(NICT)は2月1日、脆弱なIoT機器の調査とユーザーにセキュリティ対策を促すプロジェクト「NOTICE(National Operation Towards IoT Clean Environment)」を2月20日に開始すると発表した。NICTがネットワーク経由で調査するが、総務省は「セキュリティが目的であり、通信の秘密は侵害せず、調査などで得られた情報は厳格な安全管理措置を講じる」と主張している。
今回のプロジェクトでは、NICTがまず、インターネット経由で国内にある約2億のIPv4のグローバルアドレスに対してポートスキャンを行う。さらに接続可能かつ認証要求のあった機器に対しては、「特定アクセス行為」としてIDとパスワードによる認証を試行する。ここで使うIDとパスワードは、過去の大規模なサイバー攻撃で用いられた約100万通りの組み合わせになるという。
「特定アクセス行為」に基づく認証が成功した機器については、NICTが機器への通信の送信元IPアドレス、送信先IPアドレス、タイムスタンプなど通信日時の情報を記録し、インターネットサービスプロバイダーなどの電気通信事業者へ通知する。
なお、パスワード設定以外に、機器がアクセス制御機能を持たなかったり、ソフトウェアに脆弱性が存在したりすれば、これらの情報も通知する場合があるという。電気通信事業者は、この記録に基づいて対象機器のユーザーに注意喚起し、堅牢な認証情報の設定や脆弱性の解消といったセキュリティ対策の実施を促す。】一部抜粋
MIT Technology Reviewより
日本政府がIoT機器に無差別侵入、「前例なし」に海外も注目
【NHKワールドジャパンの報道によれば、日本政府はサイバーセキュリティ強化対策の一環として、2月から全国の家庭やオフィスにあるインターネットに接続された機器への無差別侵入を試みる(NHKの日本語記事)。
中 略
この取り組みには一理ある。いわゆる「モノのインターネット(IoT)」機器は、組み込みセキュリティが弱い傾向があることで有名だからだ。情報通信研究機構によると、2017年に観測されたサイバー攻撃の54%でIoT機器が標的とされていたという。
しかし、今回の取り組みには疑問が多い。脆弱性の情報を発見したとしても、対処するよう国民に強制するすべはない。
そもそも機器への侵入を試みなくても、日本国民にパスワードを変更するように促せばいいだけではないのか。
また、情報通信研究機構は収集した山ほどのデータをどう扱うのか。適切にセキュリティ保護されていない機器を特定する膨大なデータベースの作成は、ハッカー自体を引き寄せる巨大なハニーポットになるリスクがある。】一部抜粋
素人大臣が率いる総務省の愚策は、皮肉なことに、サイバーセキュリティ強化とは真逆の成果?を生むことに!?
尤も、政府自身がハッカーとして?無防備なIoT機器のデータベースを欲しているなら、
狙い通り?とも言えるが・・
関連記事
政府公認「名簿屋」創設を検討=マイナンバーとリンクして個人情報を活用(悪用)?
総務省 IoT機器に無差別侵入し調査へ=2020東京五輪を言い訳に5年間??
スマホ、SNSはどれも危険!? iPhoneにバグ、応答前の音声も映像もダダ漏れ。
ZDNet Japan より
総務省、脆弱なIoT機器のセキュリティ対策を促す「NOTICE」を開始
【総務省と情報通信研究機構(NICT)は2月1日、脆弱なIoT機器の調査とユーザーにセキュリティ対策を促すプロジェクト「NOTICE(National Operation Towards IoT Clean Environment)」を2月20日に開始すると発表した。NICTがネットワーク経由で調査するが、総務省は「セキュリティが目的であり、通信の秘密は侵害せず、調査などで得られた情報は厳格な安全管理措置を講じる」と主張している。
今回のプロジェクトでは、NICTがまず、インターネット経由で国内にある約2億のIPv4のグローバルアドレスに対してポートスキャンを行う。さらに接続可能かつ認証要求のあった機器に対しては、「特定アクセス行為」としてIDとパスワードによる認証を試行する。ここで使うIDとパスワードは、過去の大規模なサイバー攻撃で用いられた約100万通りの組み合わせになるという。
「特定アクセス行為」に基づく認証が成功した機器については、NICTが機器への通信の送信元IPアドレス、送信先IPアドレス、タイムスタンプなど通信日時の情報を記録し、インターネットサービスプロバイダーなどの電気通信事業者へ通知する。
なお、パスワード設定以外に、機器がアクセス制御機能を持たなかったり、ソフトウェアに脆弱性が存在したりすれば、これらの情報も通知する場合があるという。電気通信事業者は、この記録に基づいて対象機器のユーザーに注意喚起し、堅牢な認証情報の設定や脆弱性の解消といったセキュリティ対策の実施を促す。】一部抜粋
MIT Technology Reviewより
日本政府がIoT機器に無差別侵入、「前例なし」に海外も注目
【NHKワールドジャパンの報道によれば、日本政府はサイバーセキュリティ強化対策の一環として、2月から全国の家庭やオフィスにあるインターネットに接続された機器への無差別侵入を試みる(NHKの日本語記事)。
中 略
この取り組みには一理ある。いわゆる「モノのインターネット(IoT)」機器は、組み込みセキュリティが弱い傾向があることで有名だからだ。情報通信研究機構によると、2017年に観測されたサイバー攻撃の54%でIoT機器が標的とされていたという。
しかし、今回の取り組みには疑問が多い。脆弱性の情報を発見したとしても、対処するよう国民に強制するすべはない。
そもそも機器への侵入を試みなくても、日本国民にパスワードを変更するように促せばいいだけではないのか。
また、情報通信研究機構は収集した山ほどのデータをどう扱うのか。適切にセキュリティ保護されていない機器を特定する膨大なデータベースの作成は、ハッカー自体を引き寄せる巨大なハニーポットになるリスクがある。】一部抜粋